curl 7.71.0 නිකුත් කරන ලදී, දුර්වලතා දෙකක් නිවැරදි කරයි

පවතින ජාලය හරහා දත්ත ලබා ගැනීම සහ යැවීම සඳහා උපයෝගීතාවයේ නව අනුවාදය - එම්, කුකී, user_agent, referer සහ වෙනත් ඕනෑම ශීර්ෂයක් වැනි පරාමිති නියම කිරීමෙන් ඉල්ලීමක් නම්‍යශීලීව සැකසීමේ හැකියාව සපයයි. CURL HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP සහ අනෙකුත් ජාල ප්‍රොටෝකෝල සඳහා සහය දක්වයි. ඒ සමඟම, සමාන්තරව සංවර්ධනය වෙමින් පවතින libcurl පුස්තකාලය සඳහා යාවත්කාලීනයක් නිකුත් කරන ලදී, C, Perl, PHP, Python වැනි භාෂාවලින් වැඩසටහන් වල සියලුම curl ශ්‍රිතයන් භාවිතා කිරීම සඳහා API සපයයි.

නව නිකුතුව මඟින් කිසියම් දෝෂයක් සිදුවුවහොත් මෙහෙයුම් නැවත උත්සාහ කිරීමට “--retry-all-errors” විකල්පය එක් කරන අතර දුර්වලතා දෙකක් නිවැරදි කරයි:

• අවදානම CVE-2020-8177 ප්‍රහාරකයා විසින් පාලනය කරන සේවාදායකයකට ප්‍රවේශ වීමේදී පද්ධතියේ දේශීය ගොනුවක් නැවත ලිවීමට ඔබට ඉඩ සලසයි. "-J" ("-දුරස්ථ-ශීර්ෂ නාමය") සහ "-i" ("-head") විකල්ප එකවර භාවිතා කරන විට පමණක් ගැටළුව දිස්වේ. "-J" විකල්පය මඟින් ශීර්ෂයේ දක්වා ඇති නම සමඟ ගොනුව සුරැකීමට ඔබට ඉඩ සලසයි
  "අන්තර්ගතය-ඉවතලීම". එකම නම සහිත ගොනුවක් දැනටමත් තිබේ නම්, curl වැඩසටහන සාමාන්‍යයෙන් උඩින් ලිවීමක් සිදු කිරීම ප්‍රතික්ෂේප කරයි, නමුත් “-i” විකල්පය තිබේ නම්, පිරික්සුම් තර්කය කැඩී ගොනුව උඩින් ලියයි (පරීක්‍ෂාව අදියරේදී සිදු කෙරේ. ප්‍රතිචාර ශරීරය ලැබීමේ, නමුත් “-i” විකල්පය සමඟින් HTTP ශීර්ෂයන් පළමුව දර්ශනය වන අතර ප්‍රතිචාර දැක්වීමේ කොටස සැකසීමට පටන් ගැනීමට පෙර සුරැකීමට කාලය තිබේ). ගොනුවට HTTP ශීර්ෂයන් පමණක් ලියා ඇත, නමුත් සේවාදායකයට ශීර්ෂයන් වෙනුවට අත්තනෝමතික දත්ත යැවිය හැකි අතර ඒවා ලියා ඇත.

• අවදානම CVE-2020-8169 සමහර අඩවි ප්‍රවේශ මුරපදවල (මූලික, ඩයිජෙස්ට්, NTLM, ආදිය) DNS සේවාදායකයට කාන්දු වීමට හේතු විය හැක. මුරපදයක "@" සංකේතය භාවිතා කිරීමෙන්, එය URL හි මුරපද බෙදුම්කරුවෙකු ලෙසද භාවිතා කරයි, HTTP යළි-යොමුවීමක් ක්‍රියාරම්භ කළ විට, curl විසින් මුරපදයේ කොටස "@" සංකේතය සමඟින් පසුව විසඳීමට යවනු ඇත. නම. උදාහරණයක් ලෙස, ඔබ මුරපදය "passw@rd123" සහ "dan" පරිශීලක නාමය ලබා දෙන්නේ නම්, curl "https://dan:passw@ URL එක ජනනය කරයි.[විද්‍යුත් ආරක්‍ෂිත]"https://dan:passw% වෙනුවට /path"[විද්‍යුත් ආරක්‍ෂිත]/මාර්ගය" සහ ධාරකය විසඳීමට ඉල්ලීමක් එවනු ඇත "[විද්‍යුත් ආරක්‍ෂිත]"example.com" වෙනුවට.

  සාපේක්ෂ HTTP ප්‍රතියොමු කරන්නන් සඳහා සහය සබල කර ඇති විට ගැටලුව දිස්වේ (CURLOPT_FOLLOWLOCATION හරහා අබල කර ඇත). සම්ප්‍රදායික DNS භාවිතා කරන්නේ නම්, මුරපදයේ කොටසක් පිළිබඳ තොරතුරු DNS සපයන්නාට සහ සංක්‍රමණ ජාල ගමනාගමනයට බාධා කිරීමේ හැකියාව ඇති ප්‍රහාරකයෙකුට ලබා ගත හැක (මුල් ඉල්ලීම HTTPS හරහා වුවද, DNS ගමනාගමනය සංකේතනය කර නොමැති බැවින්). DNS-over-HTTPS (DoH) භාවිතා කරන විට, කාන්දුව DoH ක්‍රියාකරුට සීමා වේ.

මූලාශ්රය: opennet.ru