Pwochen piblikasyon curl, yon sèvis piblik ak bibliyotèk pou transfere done sou rezo a, te fèt. Pandan 25 ane devlopman pwojè a, curl te aplike sipò pou anpil pwotokòl rezo, tankou HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB ak MQTT. Bibliyotèk libcurl la itilize pa pwojè enpòtan pou kominote a tankou Git ak LibreOffice. Kòd pwojè a distribye anba yon lisans Pli (Opsyon lisans MIT).
Liberasyon an enpòtan pou de rezon:
- te ajoute sipò pwotokòl IPFs;
- fiks danjere vilnerabilite nan aplikasyon pwotokòl SOCKS5 la;
Vilnerabilite a te patikilyèman make pa otè pwojè a, Daniel Stenberg, kòm "youn nan frajilite ki pi grav nan boukl nan yon tan long." Se vilnerabilite a ki te koze pa yon erè nan lojik la nan etabli yon koneksyon ak yon prokurasyon SOCKS5, ki pèmèt yon atakè debòde yon tanpon ak egzekite kòd abitrè sou bò aplikasyon an.
Jay Satiro te idantifye erè a, kòm yon pati nan pwogram nan Bounty Bug Entènèt la yo te peye li konpansasyon nan kantite $4660.
Li ta dwe remake ke Danyèl pran yon pozisyon aktif nan pwoblèm sekirite ak travay ap travay sou aplikasyon Rust HTTP pwotokòl la nan boukl.
Sous: linux.org.ru
