cURL 8.16.0 发布
cURL 8.16.0 现已发布,这是近期推出的功能最丰富的 curl 版本之一,距离发布 8.15.0 版本正好八周。
Security
本次发布同步披露两个低危漏洞:
- CVE-2025-9086 指出了 cookie 路径处理程序中的一个错误,该错误可能导致 curl 出现混淆,并使用同名的非安全 cookie 覆盖安全 cookie —— 前提是所有条件都恰好完美契合。
- CVE-2025-10148 指出了 WebSocket 实现中的一个错误,该错误导致 curl无法为每个新的 outgoing frame 正确更新帧掩码。
Changes
- curl 新增
--follow选项 - curl 新增
--out-null选项 - curl 新增
--parallel-max-host选项,用于限制每个主机的并发连接数 --retry-delay和--retry-max-time接受十进制秒- curl 获得
--longopt=value支持 - curl -w 现在支持 %time{}
- 现在 libcurl 缓存 negative name resolves
- ip happy eyeballing:keep attempts running
- 将所需的最低 mbedtls 版本提升至 3.2.0
- 添加 curl_multi_get_offt () 用于获取多路相关信息
- 添加 CURLMOPT_NETWORK_CHANGED 来表示网络已更改为 libcurl
- 若环境变量
NETRC已设置,则优先使用该变量 - 将最低要求 mingw-w64 升级至 v3.0(from v1.0)
- smtp:允许在邮件地址后面添加 RFC 3461 的后缀
- 使默认 TLS 版本至少为 1.2
- 放弃对 msh3 的支持
- 支持 CURLOPT_READFUNCTION for WebSocket
错误修复
本周期官方的错误修复数量已超过 250 个,已全部记录在变更日志中,并附上了大部分漏洞来源问题或拉取请求的链接。
为您推荐相关文章:
同类文章推荐: