今日Curl官方博客宣布,版本7.61.0开始发布,距离上个版本7.60.0过了六周时间。关于Curl的介绍的详细使用,可以参考我的技术文章《利用curl 突破服务器限制,进行安全渗透测试》系列文章。
版本代号
安全修复
解决了 SMTP发送堆缓冲区溢出(CVE-2018-0500)漏洞。
当程序通过SMTP协议调用curl下载一个比默认值下载缓冲区设置更小的文件时候,会可以触发堆缓冲区溢出。详细信息参考官方文档和CVE bug详情。
功能更新
更多的精准的计时器度量
在最近的几个版本中,更新了libcurl中提取计时器信息的方法,将使用整数来返回微秒时间信息,替换了双精度负点数double。这样可以提高度量精度,而且还避免因为浮点数导致程序兼容性问题。
粗体大标题
curl 现在使用粗体字输出标题信息。
Bearer tokens
认证过程现在允许应用程序设置要传递的特定的token。
TLS 1.3协议支持
最新的SSL版本TLS 1.3使用不同的套件,使用与以前的TLS版本不同的名称,应用程序无法判断服务器是否支持TLS 1.2或TLS 1.3的选择合理的算法。新版本libcurl为TLS 1。3 新增加CURLOPT_TLS13_CIPHERS算法选项。
禁止URL使用用户名
新增加选项,使curl不识别URL中的用户名。 在UR使用中的用户名可能会带来信息泄露的等安全问题。通过启用.netrc支持,则接受对外的URL的可能会暴露私有设置的密码。
问题修复
解析器本地主机名更快
当构建curl以使用线程解析器时,可任意更快地解析本地存在于hosts或者操作系统缓存的可用的主机名。
使用最新的PSL并定期刷新
curl现在可以构建为使用外部PSL(公共后缀列表)文件,以便它可以独立于curl可执行文件进行更新,从而实现在线同步。
fnmatch:使用系统配置
尽管FTP通配符匹配功能总是有自己的内部fnmatch实现,但现在我们最终放弃了自身的fnmatch()函数的。使得软件更小,也更安全。
axTLS:逐渐减少支持
为了减少我们对第三方代码的要求。如果必须需要该功能,需要自行build使用。并在未来版本中彻底停止支持。
默认使用TLS 1.3
在TLS握手中协商TLS版本时,curl现在默认允许TLS 1.3。之前需要需要明确指定。 TLS 1.3支持尚未在任何地方出现,因此它将取决于的的curl正在使用的TLS库及其版本。
领取专属 10元无门槛券
私享最新 技术干货