curl เวอร์ชันล่าสุด ซึ่งเป็นยูทิลิตี้และไลบรารีสำหรับการถ่ายโอนข้อมูลบนเครือข่าย ได้เปิดตัวแล้ว ตลอดระยะเวลาการพัฒนา 25 ปี curl ได้พัฒนาและรองรับโปรโตคอลเครือข่ายมากมาย รวมถึง HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB และ MQTT ไลบรารี libcurl ถูกใช้โดยโครงการชุมชนที่สำคัญๆ เช่น Git และ LibreOffice โค้ดของโครงการนี้เผยแพร่ภายใต้ใบอนุญาต โค้ง (รูปแบบใบอนุญาต MIT)
การเปิดตัวนี้มีความน่าสนใจด้วยสองเหตุผล:
ช่องโหว่ดังกล่าวนั้นโดยเฉพาะ ทำเครื่องหมายไว้ Daniel Stenberg ผู้เขียนโครงการ อธิบายว่านี่เป็น "หนึ่งในช่องโหว่ที่ร้ายแรงที่สุดใน curl ในรอบหลายปี" ช่องโหว่นี้เกิดจากข้อผิดพลาดในตรรกะสำหรับการสร้างการเชื่อมต่อกับพร็อกซี SOCKS5 ซึ่งทำให้ผู้โจมตีล้นบัฟเฟอร์และรันโค้ดตามอำเภอใจบนแอปพลิเคชันได้
ข้อผิดพลาดนี้ถูกค้นพบโดย Jay Satiro ซึ่งเป็นส่วนหนึ่งของโปรแกรม รางวัล Bug Bounty ทางอินเทอร์เน็ต เขาได้รับเงินชดเชยจำนวน 4660 เหรียญสหรัฐ
ควรสังเกตว่าดาเนียลมีจุดยืนที่กระตือรือร้นในเรื่องความปลอดภัยและ โรงงาน เกี่ยวกับการนำโปรโตคอล HTTP ไปใช้ในภาษา Rust ใน curl
ที่มา: linux.org.ru
