今日Curl官方博客宣佈,版本7.61.0開始發佈,距離上個版本7.60.0過了六週時間。關於Curl的介紹的詳細使用,可以參考我的技術文章《利用curl 突破服務器限制,進行安全滲透測試》系列文章。
版本代號
安全修復
解決了 SMTP發送堆緩衝區溢出(CVE-2018-0500)漏洞。
當程序通過SMTP協議調用curl下載一個比默認值下載緩衝區設置更小的文件時候,會可以觸發堆緩衝區溢出。詳細信息參考官方文檔和CVE bug詳情。
功能更新
更多的精準的計時器度量
在最近的幾個版本中,更新了libcurl中提取計時器信息的方法,將使用整數來返回微秒時間信息,替換了雙精度負點數double。這樣可以提高度量精度,而且還避免因為浮點數導致程序兼容性問題。
粗體大標題
curl 現在使用粗體字輸出標題信息。
Bearer tokens
認證過程現在允許應用程序設置要傳遞的特定的token。
TLS 1.3協議支持
最新的SSL版本TLS 1.3使用不同的套件,使用與以前的TLS版本不同的名稱,應用程序無法判斷服務器是否支持TLS 1.2或TLS 1.3的選擇合理的算法。新版本libcurl為TLS 1。3 新增加CURLOPT_TLS13_CIPHERS算法選項。
禁止URL使用用戶名
新增加選項,使curl不識別URL中的用戶名。 在UR使用中的用戶名可能會帶來信息洩露的等安全問題。通過啟用.netrc支持,則接受對外的URL的可能會暴露私有設置的密碼。
問題修復
解析器本地主機名更快
當構建curl以使用線程解析器時,可任意更快地解析本地存在於hosts或者操作系統緩存的可用的主機名。
使用最新的PSL並定期刷新
curl現在可以構建為使用外部PSL(公共後綴列表)文件,以便它可以獨立於curl可執行文件進行更新,從而實現在線同步。
fnmatch:使用系統配置
儘管FTP通配符匹配功能總是有自己的內部fnmatch實現,但現在我們最終放棄了自身的fnmatch()函數的。使得軟件更小,也更安全。
axTLS:逐漸減少支持
為了減少我們對第三方代碼的要求。如果必須需要該功能,需要自行build使用。並在未來版本中徹底停止支持。
默認使用TLS 1.3
在TLS握手中協商TLS版本時,curl現在默認允許TLS 1.3。之前需要需要明確指定。 TLS 1.3支持尚未在任何地方出現,因此它將取決於的的curl正在使用的TLS庫及其版本。
閱讀更多 蟲蟲安全 的文章
