小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。
Linux系统通常默认自带安装有 cURL ,不过基本都不是最新版本。
默认现有的软件仓库又没有最新版,因此使用 yum update 会显示没有可更新的软件。
下面介绍通过指定 yum 仓库,实现更新cURl到最新版本。
新建 repo 文件
vi /etc/yum.repos.d/city-fan.repo
或 sudo vi xxx。
复制仓库名和地址等信息到 repo 文件
如下,将下面内容,复制到上面 vi 打开的仓库文件中。
[CityFan]
name=City Fan Repo
baseurl=http://www.city-fan.org/ftp/contrib/yum-repo/rhel$releasever/$basearch/
enabled=1
gpgcheck=0
然后,esc进入命令行模式,输入 :wq! 保存并退出。
执行 yum update curl 更新
yum clean all
yum update curl
curl -V查看版本
$ curl -V
curl 7.78.0 (x86_64-redhat-linux-gnu) libcurl/7.78.0 NSS/3.36 zlib/1.2.7 libpsl/0.7.0 (+libicu/50.1.2) libssh2/1.9.0 nghttp2/1.33.0 OpenLDAP/2.4.40
Release-Date: 2021-07-21
Protocols: dict file ftp ftps gopher gophers http https imap imaps ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS GSS-API HSTS HTTP2 HTTPS-proxy IPv6 Kerberos Largefile libz NTLM NTLM_WB PSL SPNEGO SSL UnixSockets
主要参考自 使用 yum 安装最新版 cURL
cURL小介绍
cURL
CURL 是一个在命令行下工作的通过URL进行文件传输的工具,1997年首次发行。
它支持文件上传和下载。习惯上称 CURL 为下载工具。CURL 还包含了用于程序开发的 libcurl库。
cURL小巧强大,默认被集成到各种操作系统中、或编程语言中。比如PHP中就专门的curl模块(使用libcurl库)用于管理网络资源、实现爬虫、模拟http请求等。
Haxx curl 资源管理错误漏洞(CVE-2021-22901)
漏洞描述如下:
| 漏洞名称 | Haxx curl 资源管理错误漏洞(CVE-2021-22901) |
|---|---|
| 漏洞类型 | 其他漏洞 |
| CVE编号 | CVE-2021-22901 |
| CNNVD编号 | CNNVD-202105-1683 |
| CNVD编号 | -- |
| CNCVE编号 | CNCVE-202122901 |
| BUGTRAQ | -- |
| 漏洞描述 | HAXX Haxx curl是瑞典Haxx(HAXX)公司的一套利用URL语法在命令行下工作的文件传输工具。该 工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库)。 curl存在 资源管理错误漏洞,该漏洞使用OpenSSL库作为TLS后端的curl版本可以在OpenSSL库执行TLS会话重 新协商后使用已释放的内存。恶意的TLS服务器可能会利用这个缺陷来崩溃,或者使用curl库以客 户端应用程序的特权执行任意代码。 |
| 修复建议 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: curl.se/docs/CVE-20… |
| 漏洞名称 | Oracle MySQL Server Server DML 安全漏洞(CVE-2020-14828) |
| 漏洞类型 | 数据库漏洞 |
| CVE编号 | CVE-2020-14828 |
| CNNVD编号 | CNNVD-202010-968 |
漏洞的解决办法,打补丁,或者直接升级到最新版的curl。
此部分参考自Liunx centos7 下 Haxx curl 资源管理错误漏洞(CVE-2021-22901)和Requires: libnghttp2.so.14() - 掘金 (juejin.cn),但是漏洞描述中“CNNVD编号”有两个却不一样,暂时不知什么原因和其含义,仅做个简单小参考。
