cURL 8.12.0 发布
curl 8.12.0 现已正式发布,具体更新内容包括: Security CVE-2025-0167:netrc 和默认凭据泄露。当被要求使用.netrc文件作为凭据并遵循 HTTP 重定向时,curl 可能会在某些情况下将用于第一个主机的密码泄露给后续主机。此缺陷仅在 netrc 文件中有一个default省略登录名和密码的条目时才会显现。这是一种罕见的情况。 CVE-2025-0665:eventfd double close。在完成线程名称解析后关闭连接通道时,libcurl 会错误地两次关闭同一个文件描述符。 CVE-2025-0725:gzip 整数溢出。当使用 zlib 1.2.0.3 或更旧版本的 libcurl 被要求使用CURLOPT_ACCEPT_ENCODING选项对内容编码的 HTTP 响应执行自动 gzip 解压缩时,攻击者控制的整数溢出会使 libcurl 执行缓冲区溢出。几乎没有用户还在使用如此老旧和易受攻击的 zlib 版本。 Changes curl:为从文件读取变量添加字节范围支持 curl:make –etag-save acknowledge ...
