2026年6月26日 11:00软件资讯00.75K
#软件资讯 开源工具 curl 发布 v8.21.0 正式版,修复 18 个安全漏洞,创下 curl 单次版本修复的漏洞数量记录。当然这其中大部分漏洞都是 AI 模型发现的,18 个漏洞中有 4 个属于中危级别,其他均为低危级别,新版本也带来大量改进,使用 curl 的用户可以立即升级到最新版。查看全文:https://ourl.co/113661
被超过 300 亿台安装使用的开源工具 curl 在 2026 年 6 月 24 日发布 v8.21.0 正式版,该版本带来大量变更和错误修复,其中还包括 18 个安全漏洞的修复,这些安全漏洞绝大部分都是 AI 模型发现的,这也创下 curl 单次版本的漏洞修复记录,开发者建议使用该工具的用户尽快升级到最新版以获得最佳体验和更好的安全性。
新功能和实用改进:
- 新增通过 ngtcp2 QUIC 实现 HTTP/3 proxy CONNECT 和 MASQUE CONNECT-UDP 的支持
- 命名 glob 支持:上传时支持在输出文件名中使用命名 global,提升批量上传场景的灵活性
- libssh SHA256 主机密钥支持:增强 SSH 主机验证的安全性
- WebSocket 自动隧道:支持通过 HTTP 代理自动隧道 WebSocket 连接,优化 pong 缓冲机制
- 连接复用与状态管理优化:修复多处 StartTLS、mTLS、origin 比较问题
- 其他改进:Cookie 处理安全性显著增强,包括大小写敏感检查、控制字符拒绝、路径比较等
- 其他改进:CMake 构架系统多项优化,支持更智能的静态库选择
- 其他改进:大量文档澄清和代码清理工作
安全漏洞修复方面:
- 中危:CVE-2026-8925 SASL 双重释放
- 中危:CVE-2026-8927 跨代理 Digest 认证状态泄漏
- 中危:CVE-2026-9079 陈旧代理密码泄漏
- 中危:CVE-2026-11856 跨源 Digest 认证状态泄漏
- 低危:CVE-2026-8286 错误的 STARTTLS 连接复用
- 低危:CVE-2026-8458 不同服务错误连接复用
- 低危:CVE-2026-8924 尾随点域名超级 Cookie
- 低危:CVE-2026-8926 netrc 密码泄漏
- 低危:CVE-2026-8932 mTLS 配置复用匹配不完整
- 低危:CVE-2026-9080 socket 回调 Use-After-Free
- 低危:CVE-2026-9545 HTTP/3 early data 暴露
- 低危:CVE-2026-9546 发送旧 Referer
- 低危:CVE-2026-9547 SSH 主机验证不当
- 低危:CVE-2026-10536 HTTP/2 流依赖树 UAF
- 低危:CVE-2026-11352 QUIC 零长度数据包忙循环
- 低危:CVE-2026-11564 原生 CA 信任持久化
- 低危:CVE-2026-11586 WebSocket Auto-PONG 内存耗尽
- 低危:CVE-2026-12064 默认协议跳过 SSH 验证
披露:更新日志和日志清单部分由 AI 翻译
via curl.se
![[附解决方案] Codex桌面版/CLI版可能会频繁写入日志影响SSD寿命 每天写入1.76TB](https://img.lancdn.com/landian/2026/02/111836T.png)