9.3. Shell 和命令行工具
OpenEXR 组件已弃用
OpenEXR 组件已弃用。因此,对 EXR 镜像格式的支持已从 imagecodecs 模块中去掉了。
对 curl 的 metalink 支持已禁用。
在 curl 功能中发现了一个缺陷,它处理凭证和文件哈希的方式与处理使用 Metalink 下载的内容不匹配。此缺陷允许控制托管服务器的恶意参与者:
- 欺骗用户下载恶意内容
- 在用户不知情的情况下获取对提供的凭证的未授权访问
此漏洞的最大威胁是机密性和完整性。为避免这种情况,在 Red Hat Enterprise Linux 8.2.0.z 中禁用了对 curl 的 Metalink 支持。
作为临时解决方案,在下载 Metalink 文件后执行以下命令:
wget --trust-server-names --input-metalink`
例如:
wget --trust-server-names --input-metalink <(curl -s $URL)
(BZ#1999620)
