cURL 8.21.0 发布:创单次发布 18 个漏洞新纪录,新增功能与错误修复并存
cURL 8.21.0 版本正式发布,此次发布创下单次发布 18 个漏洞的新纪录,同时带来了部分新功能、修复 250 多个错误,还计划移除部分功能。
本次发布 18 个新的 curl 漏洞,创下单次发布漏洞数量及同一年度内漏洞发布总数的新纪录。其中包括 4 个中危漏洞,如CVE-2026-8925的 SASL double-free;14 个低危漏洞,像CVE-2026-8286的 STARTTLS connection reuse 错误。
因漏洞报告分散精力,合并的新功能比预期少。最终完成的功能有 curl 的命名通配符、上传时输出文件名支持命名通配符,还新增了 HTTP/3 proxy CONNECT 和 MASQUE CONNECT-UDP 支持等。
修复了 250 多个不同的错误,具体详情可查看 变更日志。这将提升 cURL 的稳定性和性能,减少使用过程中的问题。
计划移除本地加密实现、NTLM、SMB 和 TLS - SRP 支持。这些功能的移除可能会对部分依赖它们的用户产生影响,需提前做好应对准备。
下一个版本计划于 9 月 2 日发布。开发者可关注后续版本动态,以获取更多更新和改进。
编辑观点:cURL 8.21.0 漏洞数量创新高令人担忧,但新功能和错误修复也有亮点。后续版本值得期待,用户需关注待移除功能影响。