Curl 8.0.0 释出

Curl 8.0.0 释出 庆祝项目诞生 25 周年,curl 作者 Daniel Stenberg,称该版本没有 API 或 ABI 破坏,也就是不会造成向后兼容性问题。该版本修复了 6 个新漏洞,其中 5 个危险等级低,另外一个为中等。它的另一个主要变化是构建系统不再支持缺乏可工作 64 位数据类型的系统,其它主要是 bug 修复。来源 , 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot

相关推荐

封面图片

Curl 正式发布新版本 8.4.0 ,修复 SOCKS5 堆溢出漏洞,请尽快更新。

Curl 正式发布新版本 8.4.0 ,修复 SOCKS5 堆溢出漏洞,请尽快更新。 Curl 项目的维护者在一周前就了漏洞提醒,表示将在 8.4.0 版本中修复这个严重的漏洞。据维护人员称,这可能是他们长期以来见过的最严重的 curl 安全问题,同时影响到 libcurl 库和 curl 工具。 根据 Curl 作者 Daniel Stenberg 在其个人博客中的介绍,这个高危漏洞是 SOCKS5 堆溢出漏洞(heap buffer overflow),该漏洞(CVE-2023-38545)会导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 目前 8.4.0 版本已正式发布,建议用户和开发者立即更新。 漏洞详情:
封面图片

curl 8.4.0 正式发布,修复 SOCKS5 堆溢出漏洞,建议升级

curl 8.4.0 正式发布,修复 SOCKS5 堆溢出漏洞,建议升级 curl 8.4.0 已正式,创始人 Daniel Stenberg(社区称号 bagder)已提前预告了该版本 修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow),该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 有开发者,该漏洞出现的场景是输入的域名太长,从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。 两种典型的攻击场景如下: 1、某些程序里内置 libcurl,而允许外部用户指定 socket5 代理以及输入超长的域名,则可以发起攻击 2、用户在使用 curl 或者 libcurl 时,使用了 socket5 代理,并且 http 请求到恶意服务器,并且恶意服务器返回了 http 30x 跳转,把用户访问目标指向一个超长域名从而导致溢出 详情查看: 来源:
封面图片

Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题

Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题 Curl 项目正在缩短发布周期,并将于10 月 11 日发布 curl 8.4.0,其中包括修复一个严重程度标识为 HIGH 等级的 CVE 和一个 LOW 等级的 CVE 。被标识为 HIGH 的那个可能是很长时间以来 curl 的最严重的安全漏洞。 新版本以及两个 CVE 的详细信息将于发布当天 06:00 UTC 左右发布。 CVE-2023-38545:严重性 HIGH(同时影响 libcurl 和 curl 工具) CVE-2023-38546:严重性 LOW(仅影响 libcurl,不影响工具) 详细信息:
封面图片

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞 10 月 11 日,curl 将推出新版本 8.4.0。该更新将修复一个严重程度为 HIGH 等级的安全漏洞。这不是什么普通的错误。 据维护人员称,这可能是他们长期以来见过的最严重的 curl 安全问题。 有关漏洞的具体信息在发布前仍处于保密状态,预计于 10 月 11 日 06:00 UTC 时间发布。 已知信息: CVE-2023-38545:严重性 HIGH(同时影响 libcurl 和 curl 工具) CVE-2023-38546:严重性 LOW(仅影响 libcurl,不影响工具) 详细信息:
封面图片

苹果“篡改”cURL行为引起开发者不满 实际弱化了安全性

苹果“篡改”cURL行为引起开发者不满 实际弱化了安全性 大概情况是这样的:cURL 允许开发者使用参数 cacert 来指定一组 CA 证书,如果 TLS 服务器无法对这组证书进行验证时,那么应该失败并返回错误。这种特殊行为早在 2000 年 12 月就已经添加到了 cURL 中,这让开发者可以只对特定的 CA 证书进行信任,而不是信任所有有效的 CA 证书,比如防止某些 CA 因为审核不严导致签发错误证书进行劫持。在 macOS 中,开发者仍然可以使用这个参数,但苹果的处理方法是检查系统的 CA 存储库,也就是直接验证苹果在 macOS 中指定的那组 CA 证书,而不是开发者指定的一组 CA 证书。因此当开发者使用一组进行编辑的特定 CA 证书时,正常情况下不包含在这组 CA 证书中的证书那应该失败,但如果这个 / 这些证书位于 macOS 存储库中,那么 cURL 不会返回失败。所以这实际上是一个安全缺陷。针对此问题丹尼尔在 2023 年 12 月 29 日向苹果安全团队报告,这不是一个大问题,但确实是个问题。直到 2024 年 3 月 8 日苹果才回复邮件:Apple 版本的 OpenSSL (LibreSSL) 有意使用内置系统信任存储作为默认信任源,由于可以使用内置系统存储成功验证服务器证书,因此我们认为不需要在我们的平台中解决。对于这个说法丹尼尔并不同意,因为实际上这篡改了 cURL,这个未记录的功能使得 macOS 用户使用 cURL 时,CA 验证完全不可靠并且与 cURL 的文档不符,这是苹果在欺骗用户。问题是这并不是 cURL 的问题,因此丹尼尔无法发布 CVE 或任何内容,于是现在问题陷入了僵局。 ... PC版: 手机版:
封面图片

Thunderbird 128 释出

Thunderbird 128 释出 开源邮件客户端项目 Thunderbird 释出了代号为 Nebula 的 v128,该版本是基于刚刚释出的 Firefox 128 ESR 版本。Thunderbird 128 改进了代码、稳定性和用户体验,主要变化包括:整合了 Rust 语言;重新设计了卡片视图;加强了文件夹窗格;改进了主题兼容性,能与桌面环境无缝融合;自定义账号颜色,为电邮加入了个性化色彩;简化菜单导航,原生 Windows 通知,改进上下文菜单,等等。开发者表示由于技术上的障碍, Thunderbird 128 对 Exchange 和 Mozilla Sync 的支持将延后。 via Solidot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人