29-го апреля, после более месяца разработки, 521 коммита и исправления 282 ошибок, состоялся выпуск 8.20.0 (274-й) кроссплатформенной консольной утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.
Основные изменения
Безопасность
Как уже упоминалось ранее («High quality chaos»), в последнее время наблюдается значительный рост числа сообщений о проблемах безопасности. На этот раз опубликована информация о восьми новых уязвимостях в curl:
- CVE-2026-7168: утечка состояния аутентификации Digest между прокси-серверами;
- CVE-2026-7009: обход фиксации OCSP с помощью Apple SecTrust;
- CVE-2026-6429: утечка учётных данных
netrcпри повторном использовании прокси-соединения; - CVE-2026-6276: устаревший хост пользовательских файлов cookie приводил к их утечке;
- CVE-2026-6253: утечка учётных данных при перенаправлении на прокси-сервер;
- CVE-2026-5773: неправильное повторное использование SMB-соединения;
- CVE-2026-5545: неправильное повторное использование соединения
HTTP Negotiate; - CVE-2026-4873: при повторном использовании соединения игнорировались требования TLS.
Другие изменения
- теперь используется пул потоков и очередь для ресолвинга;
- NTLM по умолчанию отключен;
- прекращена поддержка CMake 3.17 и более старых версий;
- прекращена поддержка библиотеки c-ares до версии 1.16.0;
- SMB по умолчанию отключен;
- добавлен флаг
CURLMNWC_CLEAR_ALLдля всех сетевых изменений; - прекращена поддержка RTMP.
Ближайшие планы удалений
- локальные реализации криптографических алгоритмов;
- NTLM;
- SMB;
- поддержка TLS-SRP.
Если вас беспокоит что-либо из перечисленного, как можно скорее сообщите об этом в репозитории curl.
>>> Полный список изменений на curl.se (и в первой редакции этой новости)
>>> Видеопрезентация 8.20.0 на youtube
>>> Документация
