انتشار بعدی curl، ابزار و کتابخانه ای برای انتقال داده ها از طریق شبکه، انجام شد. در طول 25 سال توسعه این پروژه، curl پشتیبانی از بسیاری از پروتکل های شبکه مانند HTTP، Gopher، FTP، SMTP، IMAP، POP3، SMB و MQTT را اجرا کرده است. کتابخانه libcurl توسط پروژه های مهمی مانند Git و LibreOffice برای جامعه استفاده می شود. کد پروژه تحت مجوز توزیع می شود حلقه (گزینه مجوز MIT).
انتشار به دو دلیل قابل توجه است:
- اضافه پشتیبانی از پروتکل IPFS;
- درست شد خطرناک آسیب پذیری در اجرای پروتکل SOCKS5؛
آسیب پذیری به ویژه بود مشخص شده است توسط نویسنده این پروژه، دانیل استنبرگ، به عنوان "یکی از جدی ترین آسیب پذیری های کرل در مدت زمان طولانی". این آسیبپذیری ناشی از یک خطا در منطق برقراری ارتباط با یک پراکسی SOCKS5 است که به مهاجم اجازه میدهد از یک بافر سرریز کرده و کد دلخواه را در سمت برنامه اجرا کند.
این خطا توسط جی ساتیرو به عنوان بخشی از برنامه شناسایی شد بونتی باگ اینترنت مبلغ 4660 دلار غرامت به او پرداخت شد.
لازم به ذکر است که دانیال در مسائل امنیتی و کار می کند کار بر روی پیاده سازی پروتکل Rust HTTP در curl.
منبع: linux.org.ru
