Alerta de Segurança Debian

DSA-209-1 wget -- passagem de diretório

Data do Alerta:
12 Dez 2002
Pacotes Afetados:
wget
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6352.
No dicionário CVE do Mitre: CVE-2002-1344, CVE-2002-1565.
Informações adicionais:

Dois problemas foram encontrados no pacote wget que é distribuído no Debian GNU/Linux:

  • Stefano Zacchiroli encontrou um buffer overrun na função url_filename, que faz com que o wget trave ao acessar URLs muito longas
  • Steven M. Christey descobriu que o wget não verifica se o servidor FTP responde a um comando NLST: ele deve não conter nenhuma informação de diretório, uma vez que pode ser usado para fazer com que um cliente FTP sobreescreva arquivos arbitrários.

Ambos os problemas foram corrigidos na versão 1.5.3-3.1 para o Debian GNU/Linux 2.2 (potato) e na versão 1.8.1-6.1 para o Debian GNU/Linux 3.0 (woody).

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.diff.gz
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.dsc
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.diff.gz
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.dsc
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_mips.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.