curl 7.61.0 发布

今日Curl官方博客宣布，版本7.61.0开始发布，距离上个版本7.60.0过了六周时间。关于Curl的介绍的详细使用，可以参考我的技术文章《利用curl 突破服务器限制，进行安全渗透测试》系列文章。

版本代号

安全修复

解决了 SMTP发送堆缓冲区溢出（CVE-2018-0500）漏洞。

当程序通过SMTP协议调用curl下载一个比默认值下载缓冲区设置更小的文件时候，会可以触发堆缓冲区溢出。详细信息参考官方文档和CVE bug详情。

功能更新

更多的精准的计时器度量

在最近的几个版本中，更新了libcurl中提取计时器信息的方法，将使用整数来返回微秒时间信息，替换了双精度负点数double。这样可以提高度量精度，而且还避免因为浮点数导致程序兼容性问题。

粗体大标题

curl 现在使用粗体字输出标题信息。

Bearer tokens

认证过程现在允许应用程序设置要传递的特定的token。

TLS 1.3协议支持

最新的SSL版本TLS 1.3使用不同的套件，使用与以前的TLS版本不同的名称，应用程序无法判断服务器是否支持TLS 1.2或TLS 1.3的选择合理的算法。新版本libcurl为TLS 1。3 新增加CURLOPT_TLS13_CIPHERS算法选项。

禁止URL使用用户名

新增加选项，使curl不识别URL中的用户名。 在UR使用中的用户名可能会带来信息泄露的等安全问题。通过启用.netrc支持，则接受对外的URL的可能会暴露私有设置的密码。

问题修复

解析器本地主机名更快

当构建curl以使用线程解析器时，可任意更快地解析本地存在于hosts或者操作系统缓存的可用的主机名。

使用最新的PSL并定期刷新

curl现在可以构建为使用外部PSL（公共后缀列表）文件，以便它可以独立于curl可执行文件进行更新，从而实现在线同步。

fnmatch：使用系统配置

尽管FTP通配符匹配功能总是有自己的内部fnmatch实现，但现在我们最终放弃了自身的fnmatch()函数的。使得软件更小，也更安全。

axTLS：逐渐减少支持

为了减少我们对第三方代码的要求。如果必须需要该功能，需要自行build使用。并在未来版本中彻底停止支持。

默认使用TLS 1.3

在TLS握手中协商TLS版本时，curl现在默认允许TLS 1.3。之前需要需要明确指定。 TLS 1.3支持尚未在任何地方出现，因此它将取决于的的curl正在使用的TLS库及其版本。