Відбувся черговий випуск curl, утиліти та бібліотики для передачі даних через мережу. За 25 років розвитку проекту в curl була реалізована підтримка багатьох мережевих протоколів, таких як HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB та MQTT. Бібліотеку libcurl використовують такі важливі для спільноти проекти як Git та LibreOffice. Код проекту розповсюджується під ліцензією Витися (Варіант ліцензії MIT).
Випуск примітний відразу з двох причин:
- додано підтримка протоколу ОПЗ;
- виправлена небезпечна вразливість у реалізації протоколу SOCKS5;
Вразливість була особливо відзначено автором проекту, Даніелем Стенбергом, як «одна з найсерйозніших уразливостей у curl за довгий час». Вразливість викликана помилкою в логіці встановлення з'єднання з SOCKS5-проксі, що дозволяє атакуючому переповнити буфер і виконати довільний код на стороні програми.
Помилка була виявлена Джеєм Сатіро, в рамках програми The Internet Bug Bounty йому було виплачено компенсацію у розмірі $4660.
Слід зазначити, що Даніель займає активну позицію у питаннях безпеки та працює над впровадженням у curl реалізації протоколу HTTP мовою Rust.
Джерело: linux.org.ru
