కర్ల్ 7.71.0 విడుదల చేయబడింది, రెండు దుర్బలత్వాలను పరిష్కరిస్తుంది
అందుబాటులో ఉంది నెట్వర్క్ ద్వారా డేటాను స్వీకరించడం మరియు పంపడం కోసం యుటిలిటీ యొక్క కొత్త వెర్షన్ - కర్ల్ 7.71.0, ఇది కుక్కీ, యూజర్_ఏజెంట్, రెఫరర్ మరియు ఏదైనా ఇతర హెడర్ల వంటి పారామితులను పేర్కొనడం ద్వారా అభ్యర్థనను సరళంగా రూపొందించగల సామర్థ్యాన్ని అందిస్తుంది. CURL HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP మరియు ఇతర నెట్వర్క్ ప్రోటోకాల్లకు మద్దతు ఇస్తుంది. అదే సమయంలో, లిబ్కర్ల్ లైబ్రరీ కోసం ఒక నవీకరణ విడుదల చేయబడింది, ఇది సమాంతరంగా అభివృద్ధి చేయబడుతోంది, C, Perl, PHP, Python వంటి భాషల్లో ప్రోగ్రామ్లలో అన్ని కర్ల్ ఫంక్షన్లను ఉపయోగించడం కోసం APIని అందిస్తుంది.
కొత్త విడుదల ఏదైనా లోపాలు సంభవించినట్లయితే ఆపరేషన్లను మళ్లీ ప్రయత్నించడానికి “--retry-all-errors” ఎంపికను జోడిస్తుంది మరియు రెండు దుర్బలత్వాలను పరిష్కరిస్తుంది:
దుర్బలత్వంCVE-2020-8177 దాడి చేసేవారిచే నియంత్రించబడే సర్వర్ని యాక్సెస్ చేస్తున్నప్పుడు సిస్టమ్లోని స్థానిక ఫైల్ని ఓవర్రైట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. "-J" ("-రిమోట్-హెడర్-పేరు") మరియు "-i" ("-హెడ్") ఎంపికలను ఏకకాలంలో ఉపయోగించినప్పుడు మాత్రమే సమస్య కనిపిస్తుంది. "-J" ఎంపిక హెడర్లో పేర్కొన్న పేరుతో ఫైల్ను సేవ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది
"కంటెంట్-డిస్పోజిషన్". అదే పేరుతో ఫైల్ ఇప్పటికే ఉన్నట్లయితే, కర్ల్ ప్రోగ్రామ్ సాధారణంగా ఓవర్రైట్ చేయడానికి నిరాకరిస్తుంది, అయితే “-i” ఎంపిక ఉంటే, చెక్ లాజిక్ విచ్ఛిన్నమవుతుంది మరియు ఫైల్ ఓవర్రైట్ చేయబడుతుంది (చెక్ దశలో జరుగుతుంది ప్రతిస్పందన బాడీని స్వీకరించడానికి, కానీ “-i” ఎంపికతో HTTP హెడర్లు మొదట ప్రదర్శించబడతాయి మరియు ప్రతిస్పందన బాడీని ప్రాసెస్ చేయడం ప్రారంభించే ముందు సేవ్ చేయడానికి సమయం ఉంటుంది). ఫైల్కి HTTP హెడర్లు మాత్రమే వ్రాయబడతాయి, అయితే సర్వర్ హెడర్లకు బదులుగా ఏకపక్ష డేటాను పంపగలదు మరియు అవి వ్రాయబడతాయి.
దుర్బలత్వంCVE-2020-8169 కొన్ని సైట్ యాక్సెస్ పాస్వర్డ్ల (బేసిక్, డైజెస్ట్, NTLM, మొదలైనవి) DNS సర్వర్కు లీక్ కావచ్చు. పాస్వర్డ్లో "@" చిహ్నాన్ని ఉపయోగించడం ద్వారా, ఇది URLలో పాస్వర్డ్ సెపరేటర్గా కూడా ఉపయోగించబడుతుంది, HTTP దారి మళ్లింపు ప్రారంభించబడినప్పుడు, పరిష్కరించడానికి డొమైన్తో పాటుగా "@" గుర్తు తర్వాత పాస్వర్డ్లోని భాగాన్ని కర్ల్ పంపుతుంది పేరు. ఉదాహరణకు, మీరు పాస్వర్డ్ "passw@rd123" మరియు వినియోగదారు పేరు "డాన్"ని అందిస్తే, కర్ల్ "https://dan:passw@" అనే URLని రూపొందిస్తుంది.[ఇమెయిల్ రక్షించబడింది]"https://dan:passw%కి బదులుగా /path"[ఇమెయిల్ రక్షించబడింది]/మార్గం" మరియు హోస్ట్ని పరిష్కరించడానికి అభ్యర్థనను పంపుతుంది "[ఇమెయిల్ రక్షించబడింది]"example.com"కి బదులుగా.
సంబంధిత HTTP దారిమార్పులకు మద్దతు ప్రారంభించబడినప్పుడు సమస్య కనిపిస్తుంది (CURLOPT_FOLLOWLOCATION ద్వారా నిలిపివేయబడింది). సాంప్రదాయ DNS ఉపయోగించినట్లయితే, పాస్వర్డ్లోని కొంత భాగాన్ని గురించి సమాచారాన్ని DNS ప్రొవైడర్ మరియు ట్రాన్సిట్ నెట్వర్క్ ట్రాఫిక్ను అడ్డగించే సామర్థ్యం ఉన్న దాడి చేసే వ్యక్తి ద్వారా పొందవచ్చు (అసలు అభ్యర్థన HTTPS ద్వారా అయినప్పటికీ, DNS ట్రాఫిక్ గుప్తీకరించబడనందున). DNS-over-HTTPS (DoH) ఉపయోగించినప్పుడు, లీక్ DoH ఆపరేటర్కు పరిమితం చేయబడుతుంది.