nuova versione dell'utilità per la ricezione e l'invio di dati sulla rete - , che offre la possibilità di formulare in modo flessibile una richiesta specificando parametri come cookie, user_agent, referer ed eventuali altre intestazioni. cURL supporta HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP e altri protocolli di rete. Allo stesso tempo, è stato rilasciato un aggiornamento per la libreria libcurl, che viene sviluppata parallelamente, fornendo un'API per l'utilizzo di tutte le funzioni curl nei programmi in linguaggi come C, Perl, PHP, Python.
La nuova versione aggiunge l'opzione "--retry-all-errors" per ritentare le operazioni se si verificano errori e risolve due vulnerabilità:
- consente di sovrascrivere un file locale nel sistema quando si accede a un server controllato dall'aggressore. Il problema si verifica solo quando le opzioni “-J” (“–remote-header-name”) e “-i” (“—head”) vengono utilizzate contemporaneamente. L'opzione "-J" permette di salvare il file con il nome specificato nell'intestazione
"Disposizione del contenuto". Se esiste già un file con lo stesso nome, il programma curl normalmente rifiuta di eseguire una sovrascrittura, ma se è presente l'opzione “-i” la logica di controllo viene interrotta e il file viene sovrascritto (il controllo viene effettuato nella fase di ricevere il corpo della risposta, ma con l'opzione “-i” le intestazioni HTTP vengono visualizzate per prime e hanno il tempo di essere salvate prima che il corpo della risposta inizi ad essere elaborato). Nel file vengono scritte solo le intestazioni HTTP, ma il server può inviare dati arbitrari invece delle intestazioni e queste verranno scritte. - potrebbe comportare la fuga al server DNS di alcune password di accesso al sito (Basic, Digest, NTLM, ecc.). Utilizzando il simbolo "@" in una password, che viene utilizzato anche come separatore di password nell'URL, quando viene attivato un reindirizzamento HTTP, curl invierà la parte della password dopo il simbolo "@" insieme al dominio da risolvere il nome. Ad esempio, se fornisci la password "passw@rd123" e il nome utente "dan", curl genererà l'URL "https://dan:passw@[email protected]/percorso" invece di "https://dan:passw%[email protected]/percorso" e invierà una richiesta per risolvere l'host "[email protected]" invece di "esempio.com".
Il problema si verifica quando è abilitato il supporto per i reindirizzamenti HTTP relativi (disabilitati tramite CURLOPT_FOLLOWLOCATION). Se si utilizza il DNS tradizionale, informazioni su parte della password possono essere ottenute dal provider DNS e da un utente malintenzionato che ha la capacità di intercettare il traffico di rete in transito (anche se la richiesta originaria avveniva tramite HTTPS, poiché il traffico DNS non è crittografato). Quando viene utilizzato DNS-over-HTTPS (DoH), la perdita è limitata all'operatore DoH.
Fonte: opennet.ru