A versão mais recente do curl, um utilitário e biblioteca para transferência de dados em rede, foi lançada. Ao longo de 25 anos de desenvolvimento, o curl implementou suporte para inúmeros protocolos de rede, incluindo HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB e MQTT. A biblioteca libcurl é utilizada por importantes projetos da comunidade, como Git e LibreOffice. O código do projeto é distribuído sob uma licença. Rosca (Variante da licença MIT).
O lançamento é notável por dois motivos:
- adicionado suporte de protocolo IPFS;
- fixo perigoso vulnerabilidade na implementação do protocolo SOCKS5;
A vulnerabilidade era particularmente marcado O autor do projeto, Daniel Stenberg, descreveu-o como "uma das vulnerabilidades mais graves do curl em muito tempo". A vulnerabilidade é causada por um erro na lógica de estabelecimento de conexão com um proxy SOCKS5, permitindo que um atacante cause um estouro de buffer e execute código arbitrário na aplicação.
O erro foi descoberto por Jay Satiro, como parte do programa. Programa de Recompensas por Bugs na Internet Ele recebeu uma indenização de US$ 4660.
Cabe ressaltar que Daniel assume uma posição ativa em questões de segurança e trabalho Implementação do protocolo HTTP em Rust utilizando o curl.
Fonte: linux.org.ru
