curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级-低调大师

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级

2023-10-11 378

curl 8.4.0 已正式发布，创始人 Daniel Stenberg（社区称号 bagder）已提前一周预告了该版本——修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。

根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow)，该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。

有开发者解释称，该漏洞出现的场景是输入的域名太长，从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。两种典型的攻击场景如下：

某些程序里内置 libcurl，而允许外部用户指定 socket5 代理以及输入超长的域名，则可以发起攻击
用户在使用 curl 或者 libcurl 时，使用了 socket5 代理，并且 http 请求到恶意服务器，并且恶意服务器返回了 http 30x 跳转，把用户访问目标指向一个超长域名从而导致溢出

另一个被评级为 "LOW" 的 CVE-2023-38546 漏洞是通过 none 文件进行 cookie 注入。

此漏洞允许攻击者在满足一系列特定条件并将 cookie 放入应用程序当前目录中名为 "none" 的文件的情况下，使用 libcurl 在运行的程序中任意插入 cookie。

详情查看：https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/

微信关注我们

原文链接：https://www.oschina.net/news/261319/curl-8-4-0

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Jmix Studio 2.0.4 发布 - 企业级 Web 快速开发框架

Jmix 企业级Web快速开发框架的开发工具 Jmix Studio 2.0.4 发布，这次发布主要包含以下内容，推荐通过 IDEA 插件直接升级： 💥 新功能：支持 MySQL 的 binary(16) UUID 类型。 🛠️ 主要 Bug 修复和改进： UI 设计器的表单添加位置错误的问题。使用 Kotlin 作为编程语言的一些代码生成的问题。扩展组件中的视图不自动添加消息的问题。生成错误 dataContainer id 的问题。 BPM 设计器的一些问题。详细修复的问题列表，请参考 Jmix Youtrack： https://youtrack.jmix.io/issues/JST?q=Fixed%20in%20builds:%202.0.4 🔑 Jmix 是一个覆盖应用程序全生命周期的 Java 少代码快速开发平台。以 Spring Boot 作为开源基础框架，提供过程中的 Studio 开发工具以及开箱即用的扩展组件。通过 Jmix 实现您的数字化愿景，无低代码平台限制，无供应商依赖，无需按用户付费。资源：👉🏻Jmix 适合我吗？ 👉🏻中文官网

2023-10-11

316

ThingsPanel 0.5.3主要对系统进行了问题改进和性能优化，其中重要的改进包括租户注册、增强设备详情、增加聚合接口、重构Modbus协议、重构移动端。使用户体验得到进一步的提升。重要更新设备详情改进设备详情中新增数据显示、历史曲线、历史数据、属性上报、事件上报、命令下发、设备插件信息、设备日志（删除原来的左侧菜单）增加聚合接口使用聚合接口极大的提高加载速度使用WS接口使用WS接口后，提高了开关和设备控制的反馈速度，解决了之前操作延迟的问题。不同的场景不同的联动规则这个修改支持：在家时，照明的规则可以自动控制灯光离家时，照明的规则不会生效，安防的规则自动生效。移动端重构了设备监控、联动规则与自动化管理，使功能与ThingsPanel0.5.3版本对齐。新增功能 ●增加租户注册、通过手机验证码登录和修改密码功能 ●自动化增加设备事件判断条件，增加命令下发功能（包含自定义命令），增加自定义属性设置（包含多属性设置） ●增加实时数据Websocket接口，获取设备数据和控制设备从HTTP接口换成WebSocket接口 ●增加聚合接口功能，平均值、最大值、...

2023-10-11

371

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。