De folgjende release fan curl, in nut en biblioteek foar it oerdragen fan gegevens oer it netwurk, hat plakfûn. Oer de 25 jierren fan ûntwikkeling fan it projekt hat curl stipe ymplementearre foar in protte netwurkprotokollen, lykas HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB en MQTT. De libcurl-bibleteek wurdt brûkt troch sokke wichtige projekten foar de mienskip as Git en LibreOffice. De projektkoade wurdt ferdield ûnder in lisinsje Curl (MIT lisinsje opsje).
De frijlitting is om twa redenen opmerklik:
- tafoege protokol stipe IPFS;
- fêst gefaarlik kwetsberens yn 'e ymplemintaasje fan it SOCKS5-protokol;
De kwetsberens wie benammen markearre troch de auteur fan it projekt, Daniel Stenberg, as "ien fan 'e meast serieuze kwetsberens yn krul yn in lange tiid." De kwetsberens wurdt feroarsake troch in flater yn 'e logika om in ferbining te meitsjen mei in SOCKS5-proxy, wêrtroch in oanfaller in buffer kin oerrinne en willekeurige koade útfiere oan' e applikaasjekant.
De flater waard identifisearre troch Jay Satiro, as ûnderdiel fan it programma De Internet Bug Bounty hy waard kompensaasje betelle yn it bedrach fan $ 4660.
Dêrby moat opmurken wurde dat Daniel nimt in aktive posysje yn feiligens saken en wurket wurkje oan it ymplementearjen fan it Rust HTTP-protokol yn curl.
Boarne: linux.org.ru
