versi anyar saka sarana kanggo nampa lan ngirim data liwat jaringan - , sing nyedhiyakake kemampuan kanggo ngrumusake panjalukan kanthi fleksibel kanthi nemtokake paramèter kayata cookie, user_agent, referer lan header liyane. cURL ndhukung HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP lan protokol jaringan liyane. Ing wektu sing padha, update dirilis kanggo perpustakaan libcurl, sing dikembangake kanthi paralel, nyedhiyakake API kanggo nggunakake kabeh fungsi curl ing program ing basa kayata C, Perl, PHP, Python.
Rilis anyar nambahake opsi "--retry-all-errors" kanggo nyoba maneh operasi yen ana kesalahan lan ndandani rong kerentanan:
- ngidini sampeyan nimpa file lokal ing sistem nalika ngakses server sing dikontrol dening panyerang. Masalah kasebut mung katon nalika opsi "-J" ("-remote-header-name") lan "-i" ("-head") digunakake bebarengan. Opsi "-J" ngidini sampeyan nyimpen file kanthi jeneng sing ditemtokake ing header
"Konten-Disposisi". Yen file kanthi jeneng sing padha wis ana, program curl biasane nolak nimpa, nanging yen ana pilihan "-i", logika mriksa rusak lan file kasebut ditindih (pemeriksaan ditindakake ing tahapan. saka nampa awak respon, nanging kanthi opsi "-i" header HTTP ditampilake dhisik lan duwe wektu kanggo disimpen sadurunge awak respon wiwit diproses). Mung header HTTP sing ditulis ing file kasebut, nanging server bisa ngirim data sewenang-wenang tinimbang header lan bakal ditulis. - bisa nyebabake bocor menyang server DNS sawetara sandhi akses situs (Basic, Digest, NTLM, lsp.). Kanthi nggunakake simbol "@" ing sandhi, sing uga digunakake minangka pemisah tembung sandhi ing URL, nalika pangalihan HTTP dipicu, curl bakal ngirim bagean tembung sandhi sawise simbol "@" bebarengan karo domain kanggo mutusake masalah. jeneng. Contone, yen sampeyan menehi tembung sandhi "passw@rd123" lan jeneng panganggo "dan", curl bakal ngasilake URL "https://dan:passw@[email dilindhungi]/path" tinimbang "https://dan:passw%[email dilindhungi]/path" lan bakal ngirim panjalukan kanggo ngatasi host "[email dilindhungi]" tinimbang "example.com".
Masalah katon nalika dhukungan kanggo pangalihan HTTP relatif diaktifake (pateni liwat CURLOPT_FOLLOWLOCATION). Yen DNS tradisional digunakake, informasi babagan bagean saka tembung sandhi bisa dipikolehi dening panyedhiya DNS lan dening panyerang sing nduweni kemampuan kanggo nyegat lalu lintas jaringan transit (sanajan panyuwunan asli liwat HTTPS, amarga lalu lintas DNS ora dienkripsi). Nalika DNS-over-HTTPS (DoH) digunakake, bocor diwatesi kanggo operator DoH.
Source: opennet.ru