curl 8.4.0
Состоялся очередной выпуск curl, утилиты и библиотики для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).
Выпуск примечателен сразу по двум причинам:
Уязвимость была особо отмечена автором проекта, Даниэлем Стенбергом, как «одна из самых серьезных уязвимостей в curl за долгое время». Уязвимость вызвана ошибкой в логике установки соединения с SOCKS5-прокси, позволяющей атакующему переполнить буфер и выполнить произвольный код на стороне приложения.
Ошибка была выявлена Джеем Сатиро, в рамках программы The Internet Bug Bounty ему была выплачена компенсация в размере $4660.
Следует отметить, что Даниэль занимает активную позицию в вопросах безопасности и работает над внедрением в curl реализации протокола HTTP на языке Rust.
>>> Подробности