Pelepasan curl salajengna, utilitas sareng perpustakaan pikeun nransferkeun data dina jaringan, parantos dilaksanakeun. Salila 25 taun pangwangunan proyék, curl parantos ngalaksanakeun dukungan pikeun seueur protokol jaringan, sapertos HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB sareng MQTT. Perpustakaan libcurl dianggo ku proyék-proyék penting pikeun komunitas sapertos Git sareng LibreOffice. Kodeu proyék disebarkeun dina lisénsi curl (pilihan lisénsi MIT).
Pelepasan éta penting pikeun dua alesan:
- ditambahkeun rojongan protokol IPFS;
- dibereskeun bahaya karentanan dina palaksanaan protokol SOCKS5;
Kerentanan éta hususna ditandaan ku pangarang proyék, Daniel Stenberg, salaku "salah sahiji kerentanan paling serius dina curl dina lila." Kerentanan disababkeun ku kasalahan dina logika nyieun sambungan sareng proxy SOCKS5, anu ngamungkinkeun panyerang ngalembur panyangga sareng ngaéksekusi kode sawenang-wenang dina sisi aplikasi.
Kasalahan ieu diidentipikasi ku Jay Satiro, salaku bagian tina program The Internet Bug Bounty anjeunna dibayar santunan dina jumlah $ 4660.
Ieu kudu dicatet yén Daniel nyokot hiji posisi aktif dina isu kaamanan sarta berpungsi dipake dina ngalaksanakeun protokol HTTP Rust di curl.
sumber: linux.org.ru
