De volgende release van curl, een hulpprogramma en bibliotheek voor het overbrengen van gegevens via het netwerk, heeft plaatsgevonden. Gedurende de 25 jaar van ontwikkeling van het project heeft curl ondersteuning geïmplementeerd voor veel netwerkprotocollen, zoals HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB en MQTT. De libcurl-bibliotheek wordt gebruikt door belangrijke projecten voor de gemeenschap als Git en LibreOffice. De projectcode wordt onder licentie verspreid Krullen (MIT-licentieoptie).
De release is om twee redenen opmerkelijk:
- toegevoegd protocol-ondersteuning IPFs;
- vast gevaarlijk kwetsbaarheid bij de implementatie van het SOCKS5-protocol;
De kwetsbaarheid was bijzonder gemarkeerd door de auteur van het project, Daniel Stenberg, als "een van de ernstigste kwetsbaarheden in krul in lange tijd." Het beveiligingslek wordt veroorzaakt door een fout in de logica van het tot stand brengen van een verbinding met een SOCKS5-proxy, waardoor een aanvaller een buffer kan overlopen en willekeurige code aan de applicatiezijde kan uitvoeren.
De fout werd geïdentificeerd door Jay Satiro, als onderdeel van het programma De internetbugbounty hij kreeg een schadevergoeding van $ 4660.
Opgemerkt moet worden dat Daniel een actieve positie inneemt in veiligheidskwesties en werken bezig met de implementatie van het Rust HTTP-protocol in krul.
Bron: linux.org.ru
