Состоялся очередной выпуск curl, утилиты и библиотики для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Kawe (вариант лицензии MIT).
Выпуск примечателен сразу по двум причинам:
- tāpirihia tautoko kawa IPFS;
- whakaritea опасная whakaraeraetanga в реализации протокола SOCKS5;
Уязвимость была особо kua tohua автором проекта, Даниэлем Стенбергом, как «одна из самых серьезных уязвимостей в curl за долгое время». Уязвимость вызвана ошибкой в логике установки соединения с SOCKS5-прокси, позволяющей атакующему переполнить буфер и выполнить произвольный код на стороне приложения.
Ошибка была выявлена Джеем Сатиро, в рамках программы The Internet Bug Bounty ему была выплачена компенсация в размере $4660.
Следует отметить, что Даниэль занимает активную позицию в вопросах безопасности и mahi над внедрением в curl реализации протокола HTTP на языке Rust.
Source: linux.org.ru
