ProHoster > Blog > netfréttir > curl 7.71.0 gefin út, lagaði tvo veikleika

curl 7.71.0 gefin út, lagaði tvo veikleika

Laus ný útgáfa af tólinu til að taka á móti og senda gögn yfir netið - krulla 7.71.0, sem veitir möguleika á að móta beiðni á sveigjanlegan hátt með því að tilgreina færibreytur eins og vafraköku, user_agent, referer og hvaða aðra hausa sem er. cURL styður HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP og aðrar netsamskiptareglur. Á sama tíma var gefin út uppfærsla fyrir libcurl bókasafnið, sem er í þróun samhliða, sem gefur API til að nota allar krulluaðgerðir í forritum á tungumálum eins og C, Perl, PHP, Python.

Nýja útgáfan bætir við „--rery-all-errors“ valkostinum til að reyna aðgerðir aftur ef einhverjar villur koma upp og lagar tvo veikleika:

  • Viðkvæmni CVE-2020-8177 gerir þér kleift að skrifa yfir staðbundna skrá í kerfinu þegar þú opnar netþjón sem stjórnað er af árásarmanninum. Vandamálið birtist aðeins þegar "-J" ("-fjarlægt-haus-nafn") og "-i" ("-haus") valkostir eru notaðir samtímis. "-J" valkosturinn gerir þér kleift að vista skrána með nafninu sem tilgreint er í hausnum
    "Efni-ráðstöfun". Ef skrá með sama nafni er þegar til, neitar krulluforritið venjulega að skrifa yfir, en ef „-i“ valmöguleikinn er til staðar, er eftirlitsrökfræðin rofin og skráin er yfirskrifuð (athugunin er framkvæmd á stigi við móttöku svarhlutans, en með „-i“ valkostinum birtast HTTP hausar fyrst og hafa tíma til að vistast áður en byrjað er að vinna úr svarhlutanum). Aðeins HTTP hausar eru skrifaðir á skrána, en þjónninn getur sent handahófskennd gögn í stað hausa og þeir verða skrifaðir.

  • Viðkvæmni CVE-2020-8169 getur leitt til leka á DNS-þjóninn á sumum aðgangsorðum fyrir vefsvæðið (Basic, Digest, NTLM, osfrv.). Með því að nota „@“ táknið í lykilorði, sem einnig er notað sem lykilorðaskil í vefslóðinni, þegar HTTP tilvísun er ræst, mun curl senda hluta lykilorðsins á eftir „@“ tákninu ásamt léninu til að leysa nafnið. Til dæmis, ef þú gefur upp lykilorðið „passw@rd123“ og notandanafnið „dan“, mun curl búa til slóðina „https://dan:passw@[netvarið]/path" í stað "https://dan:passw%[netvarið]/path" og mun senda beiðni um að leysa hýsilinn "[netvarið]" í stað "example.com".

    Vandamálið birtist þegar kveikt er á stuðningi við hlutfallslega HTTP umvísanir (slökkt á CURLOPT_FOLLOWLOCATION). Ef hefðbundið DNS er notað geta upplýsingar um hluta lykilorðsins fengið hjá DNS veitunni og árásarmanni sem hefur getu til að stöðva flutningsnetumferð (jafnvel þó upphaflega beiðnin hafi verið í gegnum HTTPS, þar sem DNS umferð er ekki dulkóðuð). Þegar DNS-over-HTTPS (DoH) er notað er lekinn takmarkaður við DoH rekstraraðilann.

Heimild: opennet.ru

Bæta við athugasemd