Publicouse a última versión de curl, unha utilidade e biblioteca para a transferencia de datos en rede. Ao longo de 25 anos de desenvolvemento, curl implementou compatibilidade con numerosos protocolos de rede, incluíndo HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB e MQTT. A biblioteca libcurl é utilizada por proxectos comunitarios tan importantes como Git e LibreOffice. O código do proxecto distribúese baixo unha licenza. Enrolar (Variante da licenza MIT).
A publicación é salientable por dúas razóns:
- engadido soporte protocolario IPFS;
- fixo perigoso vulnerabilidade na implementación do protocolo SOCKS5;
A vulnerabilidade era particularmente marcado O autor do proxecto, Daniel Stenberg, describiuno como "unha das vulnerabilidades máis graves de curl en moito tempo". A vulnerabilidade está causada por un erro na lóxica para establecer unha conexión a un proxy SOCKS5, o que permite a un atacante desbordar un búfer e executar código arbitrario na aplicación.
O erro foi descuberto por Jay Satiro, como parte do programa A recompensa dos erros de Internet Recibiu unha indemnización de 4660 dólares.
Cómpre sinalar que Daniel adopta unha posición activa en materia de seguridade e traballo sobre a implementación dun protocolo HTTP na linguaxe Rust en curl.
Fonte: linux.org.ru
