The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск curl 7.71.0 с устранением двух уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от opennews (??), 26-Июн-20, 13:16 
Доступна новая версия утилиты для  получения и отправки данных по сети - curl 7.71.0, предоставляющей возможность гибкого формирования запроса с заданием таких параметров, как cookie, user_agent, referer и любых других заголовков. cURL поддерживает HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP и другие сетевые протоколы. Одновременно вышло обновление параллельно развиваемой библиотеки libcurl, предоставляющей API для задействования всех функций curl в программах на таких языках, как Си, Perl, PHP, Python...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53239

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +3 +/
Сообщение от Аноним (1), 26-Июн-20, 13:16 
А как там с мастерами и слейвами?
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от ыыы (?), 26-Июн-20, 14:47 
уже выпилили ведь, вроде пару недель назад новость тут была
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +2 +/
Сообщение от ыыы (?), 26-Июн-20, 14:50 
https://github.com/curl/curl/commit/eab2f95c0de94e9816c8a611...
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (2), 26-Июн-20, 13:30 
Забавно. Впервые вижу опасный баг, который очень вероятно может затронуть меня. Но -i в скриптах не используется, надеюсь, на практике не придётся столкнуться.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от пох. (?), 27-Июн-20, 12:33 
там вообще-то адское сочетание - надо доверять серверу создавать у тебя файлы как ему хочется (что логично для ручного или полуручного использования, но не для автоматики чего либо), надо чтобы этот сервер внезапно был недоверенный ("недоверенный" в том смысле, что это к примеру, ни разу не sf какой - код-то ты вообще оттуда _запускать_ собирался? А что-то совсем-совсем странное.) и при этом надо зачем-то не файл с него качать, а заголовки - и при этом сохранять их за каким-то хером под именем не скачиваемого с сервера файла (который, судя по всему, тебе нахер не нужен).

imho, при таком сочетании надо вызывать abort() а не обрабатывать ошибку - иначе есть риск породить черную дыру или вызвать танец Шивы (результат в общем-то примерно тот же).

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –13 +/
Сообщение от Takishima (ok), 26-Июн-20, 13:39 
Когда ж это закончится?

Вот что бывает, когда пишут не на расте.

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +4 +/
Сообщение от Аноним (-), 26-Июн-20, 14:37 
А как от таких багов раст поможет, мистер растаман? :)
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от RomanCh (ok), 01-Июл-20, 16:48 
Кажется, тот самый случай когда у автора получилось так толсто, что аж тонко.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +1 +/
Сообщение от ann (??), 26-Июн-20, 17:43 
Потому что на расте вообще ничего не пишут.

Вот напиши и тогда закончиться.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +3 +/
Сообщение от Аноним (5), 26-Июн-20, 14:37 
Не надо исправлять ошибки, лучше переименуйте в curblm, чтобы пристыдить белых взломщиков.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (9), 26-Июн-20, 18:12 
Хинт: так как на XP большинство качалок (менеджеров закачек) используют древний неюзабельный системный https стек (исключая однопоточных mozilla и opera-presto браузеров) можно попробовать качать в несколько потоков с помощью uget + curl.
aria2c была бы лучше, но все версии, доступные на github в виде бинарей (с 2015 года) не работают на XP. curl по идее должен работать, он также использует openssl, а не системную древность.
uget я проверял работает на XP. Но там куча мелких файлов, GTK3. Причем, большинство из них это иконки. Но оно умудряется работать.
Возможно, еще есть расширения многопоточной загрузки для Firefox 52.
А также есть слабая надежда на JDownloader. В случае, если Java не пользуется системными средствами для https (этого я еще не знаю). В JDownloader можно задавать несколько потоков. Недостаток в том, что похоже он не слушается этих настроек и все качает в один поток.
Зачем GUI, если есть консоль? curl умеет многопоточное скачивание, но им трудно управлять (в отличии от ari2c), нужно вручную задавать range. GUI (uget) берет эту работу на себя. Зачем качать в несколько потоков? Так выше скорость на плохих каналах и есть возобновление соединения.
Еще есть вариант: локальный https прокси, перешифрующий трафик. Fiddler использует системный .Net, а это те же яйца, вид сбоку. Возможно, какой-то антивирус со своим https движком, но их ставить не хочется.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (9), 26-Июн-20, 18:17 
Или curl умеет качать частями (поддерживает докачку), но не в несколько потоков одновременно? Вряд ли uget тогда запускает несколько копий curl.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –2 +/
Сообщение от Аноним (9), 26-Июн-20, 18:21 
Как собрать aria2c под XP?
Или есть еще какие-нибудь примеры несистемного использования https качалками?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (19), 26-Июн-20, 20:51 
aria2 1.35 поддержкой XP https://github.com/q3aql/aria2-static-builds
Обсуждение и ругание разработчиков https://github.com/aria2/aria2/issues/393
Старые версии (уже неактуально, но они доступны, 1.18.10 работала) https://sourceforge.net/projects/aria2/files/stable

aria2c.exe и ca-certificates.crt поместить в C:\Windows
Создать конфиг C:\Documents and Settings\user\.aria2\aria2.conf с содержимым
ca-certificate=C:\Windows\ca-certificates.crt
Скачивание aria2c -x16 -s16 -k1M "URL"
uGet (GUI) https://sourceforge.net/projects/urlget/files/uget%20&#...

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (19), 26-Июн-20, 21:32 
Люди, наверное, думают зачем я с виндой связался. Через месяц, может, какой-нибудь роллинг линукс поставлю. А так то мне понадобилась винда для игр и для avisynth (xvid4psp5). Ну и до кучи экспериментирую.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от пох. (?), 27-Июн-20, 10:10 
> А так то мне понадобилась винда для игр

в тетрис или в диггера рубишься?

(а какой еще есть игорь для - XP?!)

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (36), 27-Июн-20, 16:53 
Например, Constanine, Sims3 (+ моды), SWAT4, Counter Strike Source, Battlefield 2, Call of Duty, Medal of Honor, Brothers in Arms, Syberia, Spider Man 2.
Но вообще я скучаю по Demolition Racer из Sega Dreamcast.
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (14), 26-Июн-20, 19:43 
>но все версии, доступные на github в виде бинарей (с 2015 года) не работают на XP

Скажи спасибо, что в их системных требованиях Tiger Lake не значится.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (14), 26-Июн-20, 19:46 
>есть слабая надежда на JDownloader. В случае, если Java не пользуется системными средствами для https

Нет. Джава дропнула как XP уже давно (и хрен ты её теперь даже установишь, первое время можно было заменой файлов поставить, но потом это работать перестало, видимо студию обновили), так и вообще 32 бита. #спасибоораклузаэто

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

21. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (19), 26-Июн-20, 20:59 
У JDownloader собственная портативная старая сборка Java. Конкретно на линуксе 8.0.66.
Но меня интересует сам факт использует ли Java системные компоненты для доступа к https. Думается, что нет. Это хорошо.
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (19), 26-Июн-20, 21:02 
Может работать и системной, но у меня он с ней заглючил как-то (перестал обновляться). Может, я не так запускал, конечно.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от супераноним (?), 27-Июн-20, 08:32 
Зависит от конкретной сборки jre. Oracle JRE использует свой список CA. Сборки OpenJDK на линуксе обычно собирают с системным CA, но на винде вроде как тоже используется свой список.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (36), 27-Июн-20, 16:22 
Поставил JDownloader на XP. Да, качает все ссылки (те, что не открывает IE6).
Виндовый установщик не заработал, жаловался на какой-то .Net. Я скачал jar файл и Java 7u80 (Oracle) отсюда http://java-runtime.ru/download (эту ссылку трудно было найти). Задал нужные параметры в Java конфигураторе (в панели управления): включил TLS 1.2, отключил браузерное расширение, проверку отзыва сертификатов, обновление. Убрал яву из автозагрузи и отключил службу quick starter. Создал ярлык: "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Program Files\JDownloader\JDownloader.jar"
С него скачалось обновление и установилось. В расширенных настройках отключил баннеры, поиск по запросам:
premium alert
oboom
Special Deals
Donate
Banner
Update
Вполне возможно, что JDownloader качает в несколько потоков, если задать "максимум одновременных закачек с хоста". Кстати, скорость можно менять, если кликнуть ЛКМ или ПКМ справа сверху на графике скорости (где раньше баннер был), откроется меню. Отключил автоматическое разархивирование, потому что 1. не поддерживается rar5 (на сайте есть плагин, но он x64 или это только для линукса x64), 2. сложные пароли не переваривает.
А так прога симпатичная. На пару с aria2/uGet. А главное умная, умеет качать с файлобменников.
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (36), 27-Июн-20, 18:42 
Оказывается для XP есть утилита NNN Changer, которая подделывает версию системы http://forum.oszone.net/go.php?url=https://www.upload.ee/fil...
С помощью нее обманул и поставил SubtitleEdit. Правда, он не все файлы проинсталлил, да и portable сборка поддерживает XPю. Но я установил именно неподдерживаемый setup.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –2 +/
Сообщение от Аноним (20), 26-Июн-20, 20:59 
Зачем пользоваться xp в 2020 году?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

27. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (27), 26-Июн-20, 22:52 
Потому что новые версии говно.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от пох. (?), 27-Июн-20, 10:11 
Ну да, например - в них нет "древнего неюзабельного http-cтека" - с чем ты теперь героицски борешься.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (36), 27-Июн-20, 14:35 
> с чем ты теперь героицски борешься

А ты с чем героически борешься? С телеметрией? Судя по постам об убунте это так.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от пох. (?), 27-Июн-20, 17:20 
>> с чем ты теперь героицски борешься
> А ты с чем героически борешься? С телеметрией? Судя по постам об
> убунте это так.

Ну так это ж в убунте телеметрию чуть ли не в ведро запихивают (а может и запихивают, хрен его знает, что там лишнего в _закрытом_ коде лайвпатчей) и при этом даже о самом факте ее существования - молчок, а в венде-проклятой - пока не опеределишься с тем, какой именно частью информации и с каким софтом готов поделиться - так даже учетку завести не дают.

Ну а серверные версии без команды от smc и вообще не поделятся. MS'то в курсе существования сетей с ограниченным или вовсе заблокированным доступом наружу, это ж не убунта, серверную версию которой даже не поставить в такой сети нормально.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (36), 27-Июн-20, 18:09 
Ну у тебя конечно же есть пруфы, что она что-то сливает, а не индексы обновляет (с security.ubuntu.com).
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (27), 27-Июн-20, 19:20 
А почему винда постоянно скрипит винтом, а в линуксе все тихо? Потому что в нем лучше кэширование?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

32. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Anonymoustus (ok), 27-Июн-20, 11:41 
Потому что она офигенная, а нынешние, как верно заметил аноним — говно.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

12. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (20), 26-Июн-20, 19:13 
Чем оно лучше wget?
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от ann (??), 26-Июн-20, 19:19 
Curl: FTP, FTPS, Gopher, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, LDAP, LDAPS, MQTT, FILE, POP3, IMAP, SMB/CIFS, SMTP, RTMP and RTSP.

Wget: HTTP, HTTPS and FTP.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (14), 26-Июн-20, 19:46 
чем wget.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

18. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Тот самый (?), 26-Июн-20, 20:33 
А что, wget умеет метод PUT? Wget-ом можно передать заполненную форму на сервер?
(сам я не в курсе, т.к. пользуюсь исключительно curl)

На самом деле версия 7.71.0 по-богаче выглядит:
curl 7.71.0 (i686-pc-linux-gnu) libcurl/7.71.0 OpenSSL/1.1.1g zlib/1.2.11 c-ares/1.16.1 libidn2/2.2.0 libssh2/1.9.0 nghttp2/1.41.0
Release-Date: 2020-06-24
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS HTTP2 HTTPS-proxy IDN Largefile libz Metalink NTLM SSL TLS-SRP UnixSockets

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

26. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –1 +/
Сообщение от Ordu (ok), 26-Июн-20, 22:13 
> А что, wget умеет метод PUT? Wget-ом можно передать заполненную форму на сервер?

Мне лень заглядывать в ман, чтобы освежить память, но, по-моему, ответы "да" и "да". Я когда-то давно пробовал разные способы автоматизации в веб, и когда шеллом это делал, использовал wget и не помню, чтобы я спотыкался о то, что wget чего-то там не умеет. С другой стороны давно это было, а память у меня дырявая.

Это не отменяет того факта, что curl умеет больше, но с http(s) у wget всё очень неплохо.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от Аноним (23), 26-Июн-20, 21:09 
Тем что curl это еще и libcurl, с к-й можно линковаться и иметь мощнейший HTTP-клиент в Сишном коде, а твой сраный wget - это просто wget.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от ann (??), 26-Июн-20, 21:15 
И не только http клиент, клиент ко всей куче поддерживаемых протоколов.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  –3 +/
Сообщение от Аноним (28), 27-Июн-20, 08:02 
>Доступна новая версия утилиты для получения и отправки данных по сети - curl 7.71.0, предоставляющей возможность гибкого формирования запроса с заданием таких параметров, как cookie, user_agent, referer и любых других заголовк

curl - это обычная качалка. Зачем такой пафос?

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от с (?), 27-Июн-20, 17:13 
Это либа вообще-то, которую используют почти все языки, а тузла просто витринка либы.
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск curl 7.71.0 с устранением двух уязвимостей"  +/
Сообщение от пох. (?), 27-Июн-20, 17:22 
> Это либа вообще-то, которую используют почти все языки, а тузла просто витринка
> либы.

не витринка, а еще один вполне полноценный интерфейс к ней - поэтому очень многое можно сделать и из языков, в которые эта библиотека не влинкована насмерть.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру