ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Crispum 7.71.0 dimisit, duos vulnerabilities figens

Crispum 7.71.0 dimisit, duos vulnerabilities figens

Praesto nova versio utilitatis recipiendi et mittendi notitia super retiacula - 7.71.0 Crispumquae facultatem praebet petitioni mollius edicere parametri specificando ut crustulum, user_agentem, referentem et quosvis alios capitis. CURL sustinet HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP et alia protocolla retis. Eodem tempore renovatio ad bibliothecam libcurl dimissa est, quae in parallelis crescebat, praebens API ad omnia cincinnorum functionum utens in programmatibus linguarum ut C, Perl, PHP, Python.

Novus emissio addit optionem "-retry-omnium errorum" ad operationes retry si qui errores occurrunt et duos vulnerabilitates figit:

  • vulnerability CVE, 2020 8177, permittit te rescribere limam localem in systemate cum accessu servo regitur ab oppugnatore. Quaestio tantum apparet cum "-J" ("-remotum-header-nomen") et "-i" ("-head") optiones simul adhibitae sunt. Optio "-J" te permittit ut tabellam nomine certo in titulo serves
    "Content-Dispositio". Si fasciculus cum eodem nomine iam existit, programmata Crispum plerumque rescribere recusat, at si optio "-i" adest, logica perscriptio fracta est et tabella overscripta (perscriptio in scaena exercetur. corpus responsionis recipiendi, sed cum "-i" optione HTTP capitis monstrantur primum et tempus est ut salvetur antequam corpus responsionis processus incipit). Tantum HTTP capitis in tabella scripta sunt, sed server potest data arbitraria loco capitis mittere et scribentur.

  • vulnerability CVE, 2020 8169, ad Leak ad DNS servo alicuius loci accessus passwords perducat (Basic, Digest, NTLM, etc.). Utendo symbolo "@" in tessera, quae etiam ut tessera separator in Domicilio adhibetur, cum HTTP redirectio Urguet, Crispum tesserae partem post "@" symbolum mittet cum dominio ad solvendum. nomine. Exempli gratia, si tesseram "passw@rd123" et usoris "dan" praebes, Crispum URL "https://dan:passw@"[Inscriptio protected]/viam" pro "https://dan:passw%[Inscriptio protected]/iter" et petitionem mittet ad exercitum solvendum "[Inscriptio protected]loco "exempli.com".

    Problema apparet, cum subsidia relativa HTTP redirectores valeant (debilitata per CURLOPT_FOLLOWLOCATION). Si traditum DNS adhibetur, informationes de parte tesserae a DNS provisore et ab oppugnatore impetrari possunt, qui facultatem habet negotiationis transitus retis intercipiendi (etiamsi prima petitio per HTTPS fuit, quia DNS negotiationis non encrypted). Cum DNS-super-HTTPS (DoH) adhibetur, effluo limitatur ad operator DoH.

Source: opennet.ru