Rilis terbaru curl, sebuah utilitas dan pustaka untuk transfer data jaringan, telah dirilis. Selama 25 tahun pengembangan, curl telah menerapkan dukungan untuk berbagai protokol jaringan, termasuk HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB, dan MQTT. Pustaka libcurl digunakan oleh berbagai proyek komunitas penting seperti Git dan LibreOffice. Kode proyek didistribusikan di bawah lisensi. Keriting (varian lisensi MIT).
Rilis ini penting karena dua alasan:
- ditambahkan dukungan protokol IPFS;
- tetap berbahaya kerentanan dalam implementasi protokol SOCKS5;
Kerentanan tersebut khususnya ditandai Penulis proyek, Daniel Stenberg, menggambarkannya sebagai "salah satu kerentanan paling serius di Curl dalam waktu yang lama." Kerentanan ini disebabkan oleh kesalahan logika dalam membangun koneksi ke proksi SOCKS5, yang memungkinkan penyerang untuk membanjiri buffer dan mengeksekusi kode sembarangan pada aplikasi.
Kesalahan tersebut ditemukan oleh Jay Satiro, sebagai bagian dari program Internet Bug Bounty Dia diberi kompensasi sebesar $4660.
Perlu dicatat bahwa Daniel mengambil posisi aktif dalam masalah keamanan dan bekerja tentang penerapan protokol HTTP dalam bahasa Rust ke curl.
Sumber: linux.org.ru
