نوې خپرونه د عملیاتو بیا هڅه کولو لپاره "--retry-all-errors" اختیار اضافه کوي که کومه تېروتنه رامنځ ته شي او دوه زیانونه حل کړي:
-
زیان منونکی CVE-2020-8177 تاسو ته اجازه درکوي په سیسټم کې ځایی فایل له سره لیکلو کې کله چې د برید کونکي لخوا کنټرول شوي سرور ته لاسرسی ومومئ. ستونزه یوازې هغه وخت څرګندیږي کله چې "-J" ("-remote-header-name") او "-i" ("—head") اختیارونه په ورته وخت کې کارول کیږي. د "-J" اختیار تاسو ته اجازه درکوي چې فایل په سرلیک کې ټاکل شوي نوم سره خوندي کړئ
"د منځپانګې - ډیسپوزیشن". که چیرې د ورته نوم فایل دمخه شتون ولري ، د curl برنامه معمولا د اوور رایټ کولو څخه انکار کوي ، مګر که د "-i" اختیار شتون ولري ، د چیک منطق مات شوی او فایل له سره لیکل کیږي (چیک په مرحله کې ترسره کیږي. د غبرګون بدن ترلاسه کولو لپاره، مګر د "-i" اختیار سره HTTP سرلیکونه لومړی ښکاره کیږي او وخت لري مخکې له دې چې د غبرګون بدن پروسس پیل شي خوندي شي). یوازې د HTTP سرلیکونه فایل ته لیکل کیږي، مګر سرور کولی شي د سرلیکونو پر ځای خپلمنځي ډاټا واستوي او دوی به لیکل کیږي. -
زیان منونکی CVE-2020-8169 کیدای شي د سایټ د لاسرسي ځینې پاسورډونو (اساسي، ډایجسټ، NTLM، او نور) د DNS سرور ته د لیک لامل شي. په پټنوم کې د "@" سمبول په کارولو سره، کوم چې په URL کې د پټنوم جلا کونکي په توګه هم کارول کیږي، کله چې د HTTP ریډیریټ پیل شي، curl به د حل کولو لپاره د ډومین سره د "@" سمبول وروسته د پټنوم برخه واستوي. نوم. د مثال په توګه، که تاسو پاسورډ "passw@rd123" او د کارن نوم "dan" چمتو کړئ، curl به URL "https://dan:passw@" تولید کړي.[ایمیل خوندي شوی]د "https://dan:passw%" پرځای /path"[ایمیل خوندي شوی]/path" او د کوربه حل کولو لپاره به غوښتنه واستوي"[ایمیل خوندي شوی]د "example.com" پرځای.ستونزه هغه وخت راڅرګندیږي کله چې د اړونده HTTP ریډیریکټرونو ملاتړ فعال شي (د CURLOPT_FOLLOWLOCATION له لارې غیر فعال شوی). که دودیز DNS کارول کیږي، د پټنوم د یوې برخې په اړه معلومات د DNS چمتو کونکي لخوا او د برید کونکي لخوا ترلاسه کیدی شي چې د لیږد شبکې ټرافيکي مداخله کولو وړتیا لري (حتی که اصلي غوښتنه د HTTPS له لارې وي، ځکه چې د DNS ټرافيک کوډ شوی نه وي). کله چې د DNS-over-HTTPS (DoH) کارول کیږي، لیک د DoH آپریټر پورې محدود دی.
سرچینه: opennet.ru