search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
(parent: ffc9d1e) | patch
- David Kierznowski notified us about a security flawcurl-7_19_4
commitb94c66a183066e1659876c1c4a4e8bf50b1ab7d8
authorbagder <bagder>
Mon, 2 Mar 2009 23:05:31 +0000 (2 23:05 +0000)
committerbagder <bagder>
Mon, 2 Mar 2009 23:05:31 +0000 (2 23:05 +0000)
tree64d31d9802487bb14a22e794874965bd1cf7010etree | snapshot (tar.gz zip)
parentffc9d1e5435bbf5f7d53796a2038dd87884f54c7commit | diff
- David Kierznowski notified us about a security flaw
  (http://curl.haxx.se/docs/adv_20090303.html also known as CVE-2009-0037) in
  which previous libcurl versions (by design) can be tricked to access an
  arbitrary local/different file instead of a remote one when
  CURLOPT_FOLLOWLOCATION is enabled. This flaw is now fixed in this release
  together this the addition of two new setopt options for controlling this
  new behavior:

  o CURLOPT_REDIR_PROTOCOLS controls what protocols libcurl is allowed to
  follow to when CURLOPT_FOLLOWLOCATION is enabled. By default, this option
  excludes the FILE and SCP protocols and thus you nee to explicitly allow
  them in your app if you really want that behavior.

  o CURLOPT_PROTOCOLS controls what protocol(s) libcurl is allowed to fetch
  using the primary URL option. This is useful if you want to allow a user or
  other outsiders control what URL to pass to libcurl and yet not allow all
  protocols libcurl may have been built to support.
CHANGES diff | blob | blame | history
RELEASE-NOTES diff | blob | blame | history
docs/libcurl/curl_easy_setopt.3 diff | blob | blame | history
docs/libcurl/symbols-in-versions diff | blob | blame | history
include/curl/curl.h diff | blob | blame | history
lib/url.c diff | blob | blame | history
lib/urldata.h diff | blob | blame | history
libcurl git mirror