الانحناء 8.0.0

بعد شهر واحد بالضبط من الإصدار السابق ، يسعدنا أن نقدم curl 8.0.0 الذي تم إصداره في الذكرى السنوية الخامسة والعشرين لـ curl.

تعد هذه زيادة كبيرة في رقم الإصدار ، ولكن بدون أي تغييرات ثورية أو ألعاب نارية. قررنا أن الوقت قد حان لإعادة تعيين الرقم الثانوي إلى مستوى أكثر قابلية للإدارة ، وكان القيام بذلك بالضبط في الذكرى السنوية الخامسة والعشرين لـ curl أكثر متعة. لا توجد فواصل API أو ABI في هذا الإصدار.
ربما يكون هذا هو أفضل إصدار من تجعيد صنعناه على الإطلاق. قم بتشغيل فيديو العرض التقديمي
[محتوى مضمن]
احتفالاً بمرور 25 عامًا على التجعيد
لاحظ الحدث الإضافي الذي سيحدث لاحقًا في 20 آذار (مارس) وحلقة Fossified podcast على curl 25 عامًا. أعداد
الإصدار 215 1 التغييرات 28 يومًا (الإجمالي: 9131) 130 إصلاحات أخطاء (الإجمالي: 8820) 189 التزامًا (إجمالي: 30042) 0 ميزة libcurl عامة جديدة (الإجمالي: 91) 0 curl_easy_setopt جديد () الخيار (الإجمالي: 302) 0 خيار سطر أوامر curl الجديد (الإجمالي: 250) 42 مساهمًا ، 23 جديدًا (المجموع: 2841) 21 مؤلفًا ، 5 جديد (إجمالي: 1125) 6 تصحيحات أمان (المجموع: 141) حماية
نكشف اليوم عن ست نقاط ضعف جديدة ، خمس منها منخفضة الخطورة وواحدة متوسطة الخطورة. CVE-2023-27533: حقن IAC لخيار TELNET
يدعم curl الاتصال باستخدام بروتوكول TELNET وكجزء من هذا ، فإنه يوفر للمستخدمين إمكانية تمرير اسم المستخدم و "خيارات telnet" لمفاوضات الخادم.
نظرًا لعدم وجود تعقيم للإدخال وبدون أن تكون وظيفة موثقة ، فإن curl سيمرر اسم المستخدم وخيارات telnet إلى الخادم كما هو متوقع. قد يسمح ذلك للمستخدمين بنقل المحتوى المصمم بعناية والذي ينقل المحتوى أو خيارات التجارة دون أن ينوي التطبيق القيام بذلك. خاصة إذا كان أحد التطبيقات على سبيل المثال يسمح للمستخدمين بتقديم بيانات أو أجزاء من البيانات. CVE-2023-27534: مسار SFTP ~ حل التناقضات
يدعم curl عمليات النقل عبر SFTP. يوفر تنفيذ SFTP لـ curl ميزة خاصة في مكون المسار لعناوين URL: حرف التلدة (~) كعنصر مسار أول في المسار للإشارة إلى مسار متعلق بالدليل الرئيسي للمستخدم. يتم دعم هذا نظرًا لصياغة مسودة RFC التي كانت تحدد كيفية عمل عناوين URL الخاصة بـ SFTP.

نظرًا لوجود خطأ ، فإن معالجة التلدة في مسار SFTP لم تستبدلها فقط عند استخدامها بمفردها كعنصر مسار أول ، ولكن أيضًا بشكل خاطئ عند استخدامها كبادئة بسيطة في العنصر الأول.
سيؤدي استخدام مسار مثل / ~ 2 / foo عند الوصول إلى خادم باستخدام مستخدم dan (مع الدليل الرئيسي / home / dan) إلى منح وصول مفاجئ إلى / home / file dan2 / foo.

يمكن استخدام هذا لتجاوز التصفية أو ما هو أسوأ. CVE-2023-27535: إعادة استخدام اتصال FTP بسرعة كبيرة
قد يعيد libcurl استخدام اتصال FTP تم إنشاؤه مسبقًا حتى إذا تم تغيير خيار واحد أو أكثر ، مما قد يجعل المستخدم الفعلي مستخدمًا مختلفًا تمامًا ، مما يؤدي إلى إجراء النقل الثاني ببيانات اعتماد سيئة.
يحتفظ libcurl بالاتصالات المستخدمة سابقًا في مجموعة من الاتصالات لعمليات النقل اللاحقة لإعادة استخدامها إذا كان أي منها يتطابق مع التكوين. ومع ذلك ، تم حذف العديد من معلمات FTP من عمليات التحقق من مطابقة التكوين ، مما جعلها متوافقة بسهولة كبيرة. المعلمات المعنية هي CURLOPT_FTP_ACCOUNT ، CURLOPT_FTP_ALTERNATIVE_TO_USER ، CURL ...

تكنولوجيا Mar 20, 2023 0 15 Add to Reading List

بعد شهر واحد بالضبط من الإصدار السابق ، يسعدنا أن نقدم curl 8.0.0 الذي تم إصداره في الذكرى السنوية الخامسة والعشرين لـ curl.

تعد هذه زيادة كبيرة في رقم الإصدار ، ولكن بدون أي تغييرات ثورية أو ألعاب نارية. قررنا أن الوقت قد حان لإعادة تعيين الرقم الثانوي إلى مستوى أكثر قابلية للإدارة ، وكان القيام بذلك بالضبط في الذكرى السنوية الخامسة والعشرين لـ curl أكثر متعة. لا توجد فواصل API أو ABI في هذا الإصدار.

ربما يكون هذا هو أفضل إصدار من تجعيد صنعناه على الإطلاق. قم بتشغيل فيديو العرض التقديمي

[محتوى مضمن] احتفالاً بمرور 25 عامًا على التجعيد

لاحظ الحدث الإضافي الذي سيحدث لاحقًا في 20 آذار (مارس) وحلقة Fossified podcast على curl 25 عامًا. أعداد

الإصدار 215 1 التغييرات 28 يومًا (الإجمالي: 9131) 130 إصلاحات أخطاء (الإجمالي: 8820) 189 التزامًا (إجمالي: 30042) 0 ميزة libcurl عامة جديدة (الإجمالي: 91) 0 curl_easy_setopt جديد () الخيار (الإجمالي: 302) 0 خيار سطر أوامر curl الجديد (الإجمالي: 250) 42 مساهمًا ، 23 جديدًا (المجموع: 2841) 21 مؤلفًا ، 5 جديد (إجمالي: 1125) 6 تصحيحات أمان (المجموع: 141) حماية

نكشف اليوم عن ست نقاط ضعف جديدة ، خمس منها منخفضة الخطورة وواحدة متوسطة الخطورة. CVE-2023-27533: حقن IAC لخيار TELNET

يدعم curl الاتصال باستخدام بروتوكول TELNET وكجزء من هذا ، فإنه يوفر للمستخدمين إمكانية تمرير اسم المستخدم و "خيارات telnet" لمفاوضات الخادم.

نظرًا لعدم وجود تعقيم للإدخال وبدون أن تكون وظيفة موثقة ، فإن curl سيمرر اسم المستخدم وخيارات telnet إلى الخادم كما هو متوقع. قد يسمح ذلك للمستخدمين بنقل المحتوى المصمم بعناية والذي ينقل المحتوى أو خيارات التجارة دون أن ينوي التطبيق القيام بذلك. خاصة إذا كان أحد التطبيقات على سبيل المثال يسمح للمستخدمين بتقديم بيانات أو أجزاء من البيانات. CVE-2023-27534: مسار SFTP ~ حل التناقضات

يدعم curl عمليات النقل عبر SFTP. يوفر تنفيذ SFTP لـ curl ميزة خاصة في مكون المسار لعناوين URL: حرف التلدة (~) كعنصر مسار أول في المسار للإشارة إلى مسار متعلق بالدليل الرئيسي للمستخدم. يتم دعم هذا نظرًا لصياغة مسودة RFC التي كانت تحدد كيفية عمل عناوين URL الخاصة بـ SFTP.

نظرًا لوجود خطأ ، فإن معالجة التلدة في مسار SFTP لم تستبدلها فقط عند استخدامها بمفردها كعنصر مسار أول ، ولكن أيضًا بشكل خاطئ عند استخدامها كبادئة بسيطة في العنصر الأول.

سيؤدي استخدام مسار مثل / ~ 2 / foo عند الوصول إلى خادم باستخدام مستخدم dan (مع الدليل الرئيسي / home / dan) إلى منح وصول مفاجئ إلى / home / file dan2 / foo.

يمكن استخدام هذا لتجاوز التصفية أو ما هو أسوأ. CVE-2023-27535: إعادة استخدام اتصال FTP بسرعة كبيرة

قد يعيد libcurl استخدام اتصال FTP تم إنشاؤه مسبقًا حتى إذا تم تغيير خيار واحد أو أكثر ، مما قد يجعل المستخدم الفعلي مستخدمًا مختلفًا تمامًا ، مما يؤدي إلى إجراء النقل الثاني ببيانات اعتماد سيئة.

يحتفظ libcurl بالاتصالات المستخدمة سابقًا في مجموعة من الاتصالات لعمليات النقل اللاحقة لإعادة استخدامها إذا كان أي منها يتطابق مع التكوين. ومع ذلك ، تم حذف العديد من معلمات FTP من عمليات التحقق من مطابقة التكوين ، مما جعلها متوافقة بسهولة كبيرة. المعلمات المعنية هي CURLOPT_FTP_ACCOUNT ، CURLOPT_FTP_ALTERNATIVE_TO_USER ، CURL ...