cURL, das auf libcurl basiert, ist ein beliebtes Befehlszeilentool für die Übertragung von Daten, die mit der URL-Syntax angegeben werden. Es unterstützt eine breite Palette von Protokollen wie FTP(S), HTTP(S), SCP, SFTP, SMB(S), SMTP(S) und TELNET.
Risikobehaftet
Bei vielen GitHub-Projekten und anderswo finden sich Zeilen, die mit curl -L https://raw.githubusercontent.com oder ähnlich beginnen und am Ende ein Script herunterladen und oft auch gleich ausführen. Das macht cURL zu einem beliebten Ziel für Hacker, die versuchen, dem Anwender manipulierte Daten unterzujubeln. Immer wieder gibt es gravierende Sicherheitslücken in cURL, wie zuletzt im Oktober 2023.
GnuTLS unterstützt bereits HTTP/3
Um den Erfolg solcher Angriffe abzuschwächen, hat Debian als erste Distribution mit curl 8.8.0-2, das kürzlich in Debian Unstable hochgeladen wurde, libcurl mit HTTP/3-Unterstützung gebaut. Dabei kommt als Backend GnuTLS zum Einsatz, das neben OpenSSL eine der beiden bei cURL verwendeten freien Implementierungen von SSL- und TLS-Protokollen zum Aufbau von verschlüsselten Netzwerkverbindungen ist.
Lückenlose Verschlüsselung
HTTP/3 hat das neue Transportprotokoll QUIC eingeführt, das neben Verbesserungen der Verbindungsgeschwindigkeit bei mobilen Geräten, die ständigem Wechsel der Netzwerke unterliegen, eine umfassendere Verschlüsselung auf Transportebene durch Zusammenfassung der TCP- und TLS-Handshakes bietet. Falls keine Probleme auftauchen, sollte die neue Funktion in wenigen Tagen in Debian Testing verfügbar sein und kurz darauf auch in den Backports von Debian 12 »Bookworm« zu finden sein. HTTP/3 kann dann mit cURL über die Optionen curl --http3 oder curl --http3-only genutzt werden.
Bild: Curl | Lizenz: MIT