Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).

Уязвимость проявляется при выполнении трех условий:

 
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).

Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.

( читать дальше... )

>>> CVE-2025-5025

Основатель и главный разработчик проекта curl Дэниэл Стенберг (Daniel Stenberg) обратил внимание на проблему массовой отправки сообщений об уязвимостях, созданных LLM через платформу HackerOne. Подобные сообщения перегружают разработчиков, так как для их проверки необходимо время, которое несравнимо с тем временем, которое нужно для создания подобных отчётов при помощи LLM.

В качестве примера такого сообщения он опубликовал один из таких отчётов - #3125832. Первоначальный патч в нём не подходит ни к одной версии утилиты, для которой он сделан. На уточняющие вопросы от разработчиков его автор отвечал на не заданные вопросы (например, что такое циклическая зависимость), приводил примеры несуществующих функций в утилите и давал инструкции, как использовать git для применения патча.

В ответ на увеличение количества таких сообщений Дэниэл Стенберг предупредил, что теперь авторам необходимо будет отвечать на вопрос «использовался ли AI при его создании» и быть готовыми к дополнительным вопросам, чтобы доказать, что автор действительно проверил результат. Так же любой автор, заподозренный в отправке сообщений, которые можно классифицировать как «AI slop» (низкокачественный контент, сгенерированный LLM) будет немедленно забанен.

Дэниэл Стенберг отмечает, что на данный момент у них нет ни одного примера полезного сообщения об уязвимости, созданного при помощи AI.

Ранее Дэниэл Стенберг уже писал об этой проблеме в своём блоге. Так же о похожей ситуации сообщал Сэт Ларсон (Seth Larson), разработчик из security team в Python Software Foundation.

>>> Подробности

5 февраля, после почти двух месяцев разработки, состоялся выпуск 8.12.0 консольной утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.

( читать дальше... )

>>> Новость в блоге автора

Состоялся выпуск 8.11.0 консольной утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.

( читать дальше... )

>>> Новость в блоге автора

30 июля состоялся выпуск 0.14 консольной утилиты trurl (tr for URLs), написанной на языке C с использованием функции curl_url_set библиотеки libcurl. Утилита предназначена для разбора и других манипуляций с URL-адресами.

Список изменений:

• вместо функции strncasemp используется собственная реализация;
• добавлена поддержка префикса strict командой --get;
• добавлена поддержка оператора условного присваивания ?= командой --set;
• удалён лишний перевод строки при выводе предупреждения;
• в документацию добавлены коды возврата.

>>> Подробности

22 мая, после почти двух месяцев разработки, состоялся выпуск 8.8.0 утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.

( читать дальше... )

>>> Подробности

15 мая состоялся выпуск 0.13 консольной утилиты trurl, написанной на языке C с использованием библиотеки libcurl. Утилита предназначена для разбора и других манипуляций с URL-адресами.

trurl – это инструмент в духе tr, но для URL-адресов:

$ trurl --url https://www.linux.org.ru/help/rules.md --get '{path}'

/help/rules.md

$ trurl --url https://www.linux.org.ru --append path=forum

https://www.linux.org.ru/forum

Список изменений:

• освобождение выделенной памяти при ошибках OOM;
• короткие ключи больше не требуют разделения аргумента пробелами;
• добавление сегментов пути только при первой итерации;
• другие мелкие исправления.

---

Видео-презентация (1:05:53).

>>> Подробности

31 января, после более месяца разработки, состоялся выпуск 8.6.0 утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.

( читать дальше... )

>>> Подробности

Состоялся очередной выпуск curl, утилиты и библиотеки для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).

Выпуск примечателен сразу по двум причинам:

• добавлена поддержка протокола IPFS;
• исправлена опасная уязвимость в реализации протокола SOCKS5;

( читать дальше... )

>>> Подробности

curl 8.0.0 (8.0.1) — юбилейный релиз к 25-летию проекта. Версия 8.0.1 — срочный багфикс.

Curl — это программа командной строки, позволяющая взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL. Распространяется по собственной лицензии, похожей на MIT.

Видеопрезентация

>>> Подробности

Curl — это программа командной строки, позволяющая взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL. Распространяется по собственной лицензии, похожей на MIT.

Видеопрезентация

( читать дальше... )

>>> Подробности

transfer.sh - публичный бесплатный онлайн-сервис для обмена файлами, базирующийся на одноимённом свободном ПО. Отличительной особенностью является удобная возможность загрузки файлов на сервер с помощью CLI-программ, например, curl.

Почти 2 года назад после объявления о закрытии сервиса (новость на ЛОР) компания Storj Labs взяла на себя поддержку, и сервис смог продолжлить работу.

2 месяца назад компания заявила о закрытии сайта к 30-му сентября:

We, unfortunately, have to shut down the transfer.sh service. We don’t own the service and haven’t been able to reach the owner. We’ll discontinue hosting transfer.sh on Sept 30th. If you have any questions, please contact hello /at/ dutchcoders.io. Storj Labs Inc.

Затем Storj Labs заявили о прекращении поддержки сервиса с 30-го октября:

As of October 30th 2020, Storj Labs will discontinue support for the transfer.sh service. Please sign up for the world’s best decentralized file transfer and storage system,tardigrade.io for all of your file transfer needs. 1. Create a tardigrade.io account. 2. Download the Uplink Tool. 3. Share your file.

If you have any questions, please contact hello /at/ dutchcoders.io.

Репозиторий исходного кода (GitHub)

issue #326: What happened to transfer.sh?? (GitHub)

>>> Подробности

11 сентября вышла новая версия curl — простой CLI утилиты и библиотеки для получения и отправки данных по сети. Нововведения:

• Экспериментальная поддержка HTTP3 (по умолчанию отключена, требует пересборки с quiche или ngtcp2+nghttp3)
• Доработки авторизации через SASL
• Параллельная передача данных (ключ -Z)
• Обработка заголовка Retry-After
• Замена curl_multi_wait() на curl_multi_poll(), что должно предотвратить подвисание при ожидании.
• Исправления багов: от утечек памяти и падений, до поддержки Plan 9.

Ранее разработчик curl Дениел Стэнберг (Daniel Stenberg) выложил пояснения в блоге и 2,5-часовой видеообзор, зачем нужен HTTP/3, и как его использовать. Вкратце — вместо протокола TCP используется UDP с шифрованием TLS. Пока по HTTP/3 работают такие вещи, как: доступ по IPv4 и IPv6, все доступные фичи DNS, обработка заголовков, куки. Не сделаны запросы с большим телом, распараллеливание, тесты.

Проекты на GitHub

>>> Чейнджлог

Transfer.sh — онлайн-сервис и одноимённое свободное серверное ПО для организации публичного файлообменника с CLI-интерфейсом.

На днях на сайте сервиса появилось объявление о грядущем закрытии сервиса:

transfer.sh will shutdown 30th of November 2018
After running transfer.sh for 4 years, it has to come to an end. I started this project, because I needed something quick and simple to share files between from the command line. Now it has grown out of control, with millions of files being shared each month, and no longer sustainable and affordable to keep it running for free. From day one the code has been opensource, of which you can run your own instance. Special thanks to Andrea Spacca for maintaining the opensource version, the amazing community for all efforts, the patrons for all support and to Gopher 🐹 for being you.
So Long, and Thanks for All the Fish.
Remco Verhoef.

UPD: Проект Transfer.sh будет продолжать работать и после 30 ноября 2018 года!
Компания Storj Lab предложила помощь разработчику и владельцу сайта Transfer.sh. Об этом свидетельствует новое объявление на сайте проекта:

Don’t Panic! transfer.sh will live on!
After running and supporting transfer.sh for 4 years on my own, I’m happy to announce we are partnering with Storj Labs to keep the project going. From day one, the transfer.sh code has been open source. Storj has a commitment to open source sustainability and reached out to help us find a way to keep our project alive. Stay tuned for updates on the partnership with Storj, but for now, please continue to enjoy the service!
Blue skies, Remco Verhoef

Сервис используется многими разработчиками свободного ПО для организации хранения (до 14 дней) ночных сборок бинарных пакетов.

>>> Обсуждение на /r/commandline (Reddit)

>>> Обсуждение на HN (YCombinator/Hacker News)

>>> Репозиторий исходного кода (GitHub)

>>> Подробности

25 февраля вышла новая версия curl — программы для передачи данных, использующей синтаксис URL и поддерживающей технологии HTTP, HTTPS, FTP, FTPS, IMAP, IMAPS, POP3, POP3S, SMTP, SMTPS, SMB, Telnet, TFTP и многие другие. Входящая в комплект библиотека libcurl используется многими программами (например, в пакетном менеджере для дистрибутива ArchLinux — pacman — этот метод используется для получения сведений о репозиториях и загрузки файлов пакетов по умолчанию).

Что нового:

• В утилиту curl добавлена опция --cert-status для проверки статуса сертификата сервера с помощью метода OCSP stapling расширения TLS. Такой же функционал добавлен и в библиотеку libcurl.
• Улучшения в системе сборки для платформ NetWare и Windows.
• Улучшен механизм EXTRENAL-авторизации в методе SASL.
• Многочисленные исправления ошибок.

Скачать исходный код

>>> Подробности