文章总结: Curlv8.21.0版本于2026年6月24日发布,修复了18个安全漏洞创单版本修复记录,其中多数由AI模型发现。新增HTTP/3代理支持、命名通配符上传功能,强化SSH验证与WebSocket隧道能力,优化连接复用与Cookie安全协议。开发团队强烈建议用户尽快升级以确保安全。 综合评分: 78 文章分类: 漏洞预警,安全工具,解决方案,技术标准,应用安全
Curl v8.21.0 版本发布,修复 18 个安全漏洞
sec随谈 sec随谈
sec随谈
2026年6月26日 13:35 北京
在小说阅读器读本章
去阅读
无处不在的开源工具 curl——目前已安装在全球超过 300 亿台设备上——已于 2026 年 6 月 24 日正式发布其 v8.21.0 稳定版。这次重大更新带来了大量修改和缺陷修复。其中最值得注意的是,它包含了针对 18 个不同安全漏洞的补丁。令人惊讶的是,这些严重漏洞中的绝大多数是由人工智能模型发现的。因此,此次更新创下了单个 curl 版本中修复漏洞数量最多的新纪录。核心开发团队强烈敦促所有用户尽快升级,以确保最佳性能和更强的安全性。
激动人心的新功能与务实的增强
此次 curl v8.21.0 版本引入了多项强大的功能。它通过 ngtcp2 QUIC 协议实现了对 HTTP/3 代理 CONNECT 和 MASQUE CONNECT-UDP 的强大支持。此外,本次更新还引入了命名通配(named globbing)功能。该功能允许用户在上传过程中于输出文件名内使用命名通配符,大大增强了批量上传场景下的灵活性。
安全增强深入到基础协议层面。集成 libssh SHA256 主机密钥支持,显著强化了 SSH 主机验证机制。此外,系统现在具备 WebSocket 自动隧道功能。这使得 WebSocket 连接能够通过 HTTP 代理实现无缝的自动隧道传输,同时优化了内部的 pong 缓冲机制。
精细化的状态管理与系统架构
开发团队精心优化了连接多路复用和状态管理协议。他们成功解决了多个涉及 StartTLS、双向 TLS(mTLS)和源比较(origin comparison)算法的复杂问题。
其他重要的改进包括大幅增强的 Cookie 处理安全协议。这些升级引入了严格的大小写敏感验证、对控制字符的彻底拒绝,以及精确的路径比较逻辑。此外,CMake 构建系统也获得了多项优化,使静态库的选择变得更加智能。最后,开发者们开展了广泛的代码清理工作,并显著厘清了整体文档。
安全漏洞修复全面解析
此次更新解决了数量空前的安全漏洞。详细分类如下:
中危漏洞
- CVE-2026-8925:SASL 双重释放(Double Free)漏洞
- CVE-2026-8927:跨代理摘要认证状态泄露
- CVE-2026-9079:陈旧代理密码暴露
- CVE-2026-11856:跨源摘要认证状态泄露
低危漏洞
- CVE-2026-8286:错误的 STARTTLS 连接多路复用
- CVE-2026-8458:跨不同服务的无效连接多路复用
- CVE-2026-8924:尾部点域名超级 Cookie(Supercookie)漏洞
- CVE-2026-8926:Netrc 密码暴露
- CVE-2026-8932:不完整的 mTLS 配置多路复用匹配
- CVE-2026-9080:套接字回调释放后使用(UAF)
- CVE-2026-9545:HTTP/3 早期数据(Early Data)暴露
- CVE-2026-9546:过时 Referer 标头的传输
- CVE-2026-9547:SSH 主机验证不充分
- CVE-2026-10536:HTTP/2 流依赖树释放后使用(UAF)
- CVE-2026-11352:QUIC 零长度数据包忙循环
- CVE-2026-11564:原生证书颁发机构(CA)信任持久化问题
- CVE-2026-11586:WebSocket 自动 PONG 内存耗尽
- CVE-2026-12064:默认协议绕过 SSH 验证
参考链接:
https://curl.se/ch/8.21.0.html
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《Curl v8.21.0 版本发布,修复 18 个安全漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论