cURL 7.77.0 发布,命名200 OK

最新推荐文章于 2024-04-29 18:32:48 发布
最新推荐文章于 2024-04-29 18:32:48 发布
阅读量535 收藏
点赞数
分类专栏: 笔记
一口Linux
本文链接:https://blog.csdn.net/daocaokafei/article/details/117454780
版权

出品|开源中国

文|白开水

cURL 7.77.0 现已发布。这是该软件的第 200 次版本发布,因此官方也将 7.77.0 版本命名为 200 OK。

“它恰好与我们超过 900 个提交者和超过 2400 个项目的贡献者相吻合。这也是有史以来第一个我们在 RELEASE-NOTES 中感谢 80 多人帮助我们发布的版本,并且我们 在bug-bounty 计划中创造了两个新的记录:对一个 bug 的最大单次支付(2000 美元)和在一个发布周期内的最大总支付 3800 美元。”

cURL 7.77.0 发布,命名200 OK

Release Presentation

Numbers

  • 第 200 次发布

  • 5 changes

  • 42 天 (total: 8,468)

  • 133 bug-fixes (total: 6,966)

  • 192 commits (total: 27,202)

  • 0 个新的 public libcurl function (total: 85)

  • 2 个新的 curl_easy_setopt() 选项 (total: 290)

  • 2 个新的 curl 命令行选项 (total: 242)

  • 82 contributors, 44 new (total: 2,410)

  • 47 authors, 23 new (total: 901)

  • 3 个安全修复 (total: 103)

  • 3800 美元的 Bug 赏金 (total: 9,000 USD)

Security

  • CVE-2021-22901: TLS session caching disaster。这是 OpenSSL 后端代码中的一个 Use-After-Free,在 absolutely worst 的情况下会导致 RCE,即远程代码执行。这个漏洞是最近才出现的,很难被利用,但官方建议用户应该立即升级或打补丁。从 TLS 服务器发送与 TLS 会话相关的信息时,如果以前使用它的传输已经完成并消失,则会发生此问题。这就是那个价值 2000 美元的 bug。

  • CVE-2021-22898: TELNET stack contents disclosure。当 libcurl 接受自定义 TELNET 选项发送至服务器时,输入解析器存在缺陷,可被利用来让 libcurl 代替堆栈发送内容。这个漏洞价值 1000 美金。

  • CVE-2021-22897: schannel cipher selection surprise。在 Schannel 的后端代码中,为一次 transfer 所选择的密码被存储在一个静态变量中。这导致一个传输的选择削弱了单组传输的选择,可能会在不知不觉中影响其他连接,使其安全等级低于预期。这个漏洞价值 800 美金。

Changes

  • Make TLS flavor explicit:curl configure 脚本不再默认选择一个特定的 TLS 库。现在当使用 configure 构建 curl 时,需要选择要使用的库。

  • No more SSL:curl 现在不再有支持 SSLv2 或 SSLv3 的痕迹。这些古老而不安全的 SSL 版本已经被各地的 TLS 库默认禁用,但现在即使在特殊构建中也无法激活它们。从 curl 工具和库中都删除了(因此算作两个 change)。

  • HSTS in the build:此前版本中曾带来了对 HSTS 的实验性支持,现在已去掉了实验性的标签,并在构建时默认启用,以便大家更容易地使用它。

  • In-memory cert API:为 libcurl 引入 API 选项,允许用户在内存中指定证书,而不是使用文件系统中的文件。参见 CURLOPT_CAINFO_BLOB。

一些有趣的 bug-fixes

  • Version output:curl -V 输出的 first line 得到了更新:libcurl 现在包括了 OpenLDAP 及其在构建中使用的版本;然后 curl 工具可以添加 libmetalink 及其在构建中使用的版本。

  • curl_mprintf: add description:在 API 中提供了 *printf() clone functions,同时首次提供了一个明确的使用手册页。

  • CURLOPT_IPRESOLVE: 防止使用错误的 IP 版本:官方指出,这个选项比以前更严格了一些。以前,它对现有的连接比较宽松,倾向于重复使用而不是再次解析,但是从现在开始,这个选项确保只使用请求 IP 版本的连接。这允许应用程序在需要时使用不同的 IP 版本明确地创建两个独立的连接到同一个主机,在以前,libcurl 则不会轻易让你这么做。

  • 忽略 curl_easy_send 中的 SIGPIPE

  • Several HTTP/2-fixes:在这个版本中,HTTP/2 模块中提到了不少于 6 个独立的修复措施。一些潜在的内存泄漏,但也有一些更多的行为改进。最重要的可能是将传输相关的错误代码从连接结构移至传输结构,因为它容易受到 race condition 的影响,可能会导致错误。另一个相关的修正是,libcurl 不再强行断开一个传输得到 HTTP_1_1_REQUIRED 结果的连接。

  • Partial CONNECT requests:当发送给代理的 CONNECT HTTP 请求没有全部在单个 send() 调用中发送时,curl 会失败。不过令人费解的是,这个 bug 在早期的时候并没有被发现或报告,却在最近一次发出一个大于 16KB 的 CONNECT 请求时被发现了。

  • ......

下一个版本计划于 2021 年 7 月 21 日发布,但具体的版本号还尚未确定。

一口Linux
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
curl socket 访问_libcurl网络连接使用tcp/ip
weixin_35601445的博客
12-23 905
CURL *curl;CURLcode res;const char *request = "GETas.xxxxE测试发送";curl_socket_t sockfd; /* socket */long sockextr;size_t iolen;curl = curl_easy_init();if(curl) {curl_easy_setopt(curl, CURLOPT_URL, "127....
curl-7.77.0_2-win64-mingw.zip
06-06
这个名为“curl-7.77.0_2-win64-mingw.zip”的压缩包是CURL的Windows 64位版本,适用于64位的Windows操作系统。它包含了CURL工具以及必要的库文件,方便用户在Windows环境下执行HTTP、HTTPS和其他多种网络协议的数据...
curl-7.74.0_2-win64-mingw_curl7.74windows_curlwindow_curl7.74.03
09-29
windows 版本的curl 支持32 64
基于 libcurl 的通用网络传输库的实现
WEBCODE
10-11 343
基于 libcurl 的通用网络传输库的实现 转载:http://www.ibm.com/developerworks/cn/opensource/os-cn-libcurl/index.html 基础知识 libcurl 简介 libcurl 是一个易用的,支持多协议的 URL 传输库,支持众多的协议,如 FTP, HTTP, HTTPS, IMAP,...
curl_opt参数解析
最新发布
火红色祥云
04-29 1243
curl操作参数解析
libcurl返回curlcode说明
努力学习中的博客
06-24 2664
libcurl错误码说明
curl 7.87.0安装包
12-28
适用于CentOS 7
基于 VC15 DLL Release - DLL Windows SSPI 的 curl.exe 7.77.0
06-19
curl 7.77.0 (i386-pc-win32) libcurl/7.77.0 Schannel Release-Date: 2021-05-26 Protocols: dict file ftp ftps gopher gophers ...
curl 7.84.0,可用于CentOS,ubuntu
08-10
`curl 7.84.0` 的发布特别强调了安全漏洞的修复,这是任何软件升级中的关键部分,尤其是像 `curl` 这样广泛使用的工具。安全漏洞可能导致数据泄露、恶意攻击或其他潜在的安全风险。通过修复这些漏洞,开发者确保了...
curl-7.84.0-win64
07-04
curl-7.84.0-win64:在Windows 64位系统中的网络传输神器》 curl,一个强大的命令行工具,被广泛应用于数据的传输和下载,尤其在开发者社区中备受青睐。它的最新版本7.84.0针对Windows 64位平台进行了优化,为...
libcurl网络连接使用tcp/ip
threadroc的专栏
05-26 2911
转自:http://blog.csdn.net/zengraoli/article/details/11580565 不多说直接看代码: [cpp] view plaincopyprint? CURL *curl;   CURLcode res;   const char *request = "GETas.xxxxE测试发送";     cur
cURL 源码解析
林元皓
07-29 5646
curl 介绍 Curl 分为 curllibcurl 两个部分。 curl:命令行程序 libcurl:链接库 对应开发,都是使用 libcurl 中的 api。为了方便下述统一使用 curl 来表示。 curl是一个开源的客户端url传输库,支持众多的协议,包括DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, T
2022年漏洞事件盘点
m0_60571990的博客
12-19 4525
2022年漏洞事件盘点
掰开揉碎,讲讲这个已存在近24年的CURL漏洞
smellycat000的专栏
09-08 872
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士这是一个与cookie、Internet代码和一个CVE有关的故事。故事发生在很久以前,所以搬好小板凳,仔细听好。当然,场景时候curl,它是与我工作有关的互联网传输工具和库。1998年1998年,我们推出curl 4.9。在那个年代,少有人听说过或用过curl。距离curl 网站宣布某个新发布的下载量达到300次还有几个月的时间要过。当时,cu...
libcurlCURLOPT_CAPATH CURLOPT_CAINFO
o_alpha的博客
10-30 1769
CURLOPT_CAPATH: If you have a CA cert for the server stored someplace else than in the * default bundle, then the CURLOPT_CAPATH option might come handy for * you. https://curl.haxx.se/libcurl/c/CURLOPT_SSL_VERIFYPEER.html CURLOPT_CAP...
使用libcurl实现udp通信
hunningtu的博客
10-11 4555
使用libcurl实现udp通信,网络另一端为192.168.31.199:6000,发送数据为hello xujun #include #include //#include curl_socket_t opensocket (void *clientp, curlsocktype purpose,
libcurl-curl_easy_setopt-所有选项-名称-概要-描述
插件开发
06-17 1574
curl_easy_setopt - 设置 curl 简单句柄的选项#include CURLcode curl_easy_setopt(CURL *handle, CURLoption option, parameter);curl_easy_setopt用于告诉 libcurl 如何表现。通过设置适当的选项,应用程序可以改变 libcurl 的行为。所有选项都设置有一个选项后跟一个参数。该参数可以是long、函数指针、对象指针或curl_off_t,具体取决于特定选项的期望。...
CURL访问 https CA证书问题
怡宝的踩坑之路
12-29 8290
1、证书错误 运行报错:SSL peer certificate or SSH remote key was not OK 谷歌翻译:SSL对等证书或SSH远程密钥不正确 方法一:不检查证书 // 不检查证书 curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 0L); curl_easy_setopt(curl, CURLOPT_SSL_VERIFYHO...
linux curl 编译命令,linux curl简介和在linux下编译
weixin_39600510的博客
05-01 401
1、简介cURL是一个利用URL语法在命令行下工作的文件传输工具。也提供了很多接口可以在编程的时候使用,功能十分强大。2、概要easy 类接口,单线程编程模型multi类接口是多线程模拟接口,用在单线程环境下,达到多线程的执行效果share类接口满足部分协议的多线程并发操作,目前仅仅支持dns和cookies两类3、具体接口CURLcode curl_global_init(long flags)...
centos linux安装curl 7.86.0
05-16
你可以按照以下步骤在CentOS Linux上安装curl 7.86.0: 1. 首先,确保你的系统已经安装了wget和gcc,如果没有安装,可以使用以下命令安装: ``` sudo yum install wget gcc ``` 2. 然后,进入curl的官方网站,下载curl 7.86.0的源码包: ``` wget https://curl.se/download/curl-7.86.0.tar.gz ``` 3. 解压源码包: ``` tar -xvf curl-7.86.0.tar.gz ``` 4. 进入解压后的目录: ``` cd curl-7.86.0 ``` 5. 编译并安装curl: ``` ./configure make sudo make install ``` 注意:如果你在编译时遇到了缺少依赖库的错误,可以使用以下命令安装: ``` sudo yum install openssl-devel zlib-devel ``` 6. 安装完成后,可以使用以下命令检查curl的版本: ``` curl --version ``` 如果显示的版本号是7.86.0,则说明安装成功。 希望对你有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一口Linux

众筹植发

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值