curl 7.61.0 发布

今日Curl官方博客宣布,版本7.61.0开始发布,距离上个版本7.60.0过了六周时间。关于Curl的介绍的详细使用,可以参考我的技术文章《利用curl 突破服务器限制,进行安全渗透测试》系列文章。

版本代号

安全修复

解决了 SMTP发送堆缓冲区溢出(CVE-2018-0500)漏洞。

当程序通过SMTP协议调用curl下载一个比默认值下载缓冲区设置更小的文件时候,会可以触发堆缓冲区溢出。详细信息参考官方文档和CVE bug详情。

功能更新

更多的精准的计时器度量

在最近的几个版本中,更新了libcurl中提取计时器信息的方法,将使用整数来返回微秒时间信息,替换了双精度负点数double。这样可以提高度量精度,而且还避免因为浮点数导致程序兼容性问题。

粗体大标题

curl 现在使用粗体字输出标题信息。

Bearer tokens

认证过程现在允许应用程序设置要传递的特定的token。

TLS 1.3协议支持

最新的SSL版本TLS 1.3使用不同的套件,使用与以前的TLS版本不同的名称,应用程序无法判断服务器是否支持TLS 1.2或TLS 1.3的选择合理的算法。新版本libcurl为TLS 1。3 新增加CURLOPT_TLS13_CIPHERS算法选项。

禁止URL使用用户名

新增加选项,使curl不识别URL中的用户名。 在UR使用中的用户名可能会带来信息泄露的等安全问题。通过启用.netrc支持,则接受对外的URL的可能会暴露私有设置的密码。

问题修复

解析器本地主机名更快

当构建curl以使用线程解析器时,可任意更快地解析本地存在于hosts或者操作系统缓存的可用的主机名。

使用最新的PSL并定期刷新

curl现在可以构建为使用外部PSL(公共后缀列表)文件,以便它可以独立于curl可执行文件进行更新,从而实现在线同步。

fnmatch:使用系统配置

尽管FTP通配符匹配功能总是有自己的内部fnmatch实现,但现在我们最终放弃了自身的fnmatch()函数的。使得软件更小,也更安全。

axTLS:逐渐减少支持

为了减少我们对第三方代码的要求。如果必须需要该功能,需要自行build使用。并在未来版本中彻底停止支持。

默认使用TLS 1.3

在TLS握手中协商TLS版本时,curl现在默认允许TLS 1.3。之前需要需要明确指定。 TLS 1.3支持尚未在任何地方出现,因此它将取决于的的curl正在使用的TLS库及其版本。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180711A14CTV00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券