Bản phát hành tiếp theo của Curl, một tiện ích và thư viện để truyền dữ liệu qua mạng, đã ra mắt. Trong hơn 25 năm phát triển dự án, Curl đã triển khai hỗ trợ cho nhiều giao thức mạng, chẳng hạn như HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB và MQTT. Thư viện libcurl được sử dụng bởi các dự án quan trọng đối với cộng đồng như Git và LibreOffice. Mã dự án được phân phối theo giấy phép Quăn lại (Tùy chọn giấy phép MIT).
Việc phát hành này đáng chú ý vì hai lý do:
- thêm hỗ trợ giao thức IPFS;
- đã sửa sự nguy hiểm sự dễ bị tổn thương trong việc thực hiện giao thức SOCKS5;
Tính dễ bị tổn thương đặc biệt đánh dấu bởi tác giả của dự án, Daniel Stenberg, là "một trong những lỗ hổng nghiêm trọng nhất của Curl trong một thời gian dài." Lỗ hổng này xảy ra do lỗi logic thiết lập kết nối với proxy SOCKS5, cho phép kẻ tấn công tràn bộ đệm và thực thi mã tùy ý ở phía ứng dụng.
Lỗi được Jay Satiro xác định là một phần của chương trình Tiền thưởng lỗi Internet anh ta đã được trả số tiền bồi thường là 4660 đô la.
Cần lưu ý rằng Daniel giữ vai trò tích cực trong các vấn đề bảo mật và công trình đang nghiên cứu triển khai giao thức Rust HTTP trong cuộn tròn.
Nguồn: linux.org.ru
