Es gab eine neue Veröffentlichung von curl, einem Tool und einer Bibliothek für die Datenübertragung über Netzwerke. In 25 Jahren Projektentwicklung hat curl die Unterstützung für zahlreiche Netzwerkprotokolle implementiert, darunter HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB und MQTT. Die Bibliothek libcurl wird von wichtigen Community-Projekten wie Git und LibreOffice genutzt. Der Code des Projekts wird unter der Lizenz Curl (MIT-Lizenz) verbreitet.
Diese Version ist aus zwei Gründen bemerkenswert:
- hinzugefügt Unterstützung des Protokolls IPFS;
- wurde behoben eine kritische in Cisco-Switches die gesamte Unternehmensnetzwerkwelt fast weltweit in Frage. Implementierungsanfälligkeit des SOCKS5-Protokolls;
Die Schwachstelle wurde besonders von Daniel Stenberg, dem Projektinitiator, als "eine der schwerwiegendsten Schwachstellen in curl seit langem" hervorgehoben. Die Schwachstelle resultiert aus einem Logikfehler bei der Verbindung zu SOCKS5-Proxys, wodurch ein Angreifer einen Pufferüberlauf auslösen und beliebigen Code auf der Anwendungsebene ausführen kann.
Der Fehler wurde von Jay Satiro im Rahmen der Internet Bug Bounty entdeckt, und er erhielt eine Belohnung in Höhe von 4.660 $.
Es ist erwähnenswert, dass Daniel eine aktive Rolle in Sicherheitsfragen einnimmt und mit einem einzigen Thread arbeitet. die Implementierung des HTTP-Protokolls in curl in der Programmiersprache Rust vorantreibt.
Quelle: linux.org.ru
