Bulletin d'alerte Debian

DLA-82-1 wget -- Mise à jour de sécurité pour LTS

Date du rapport :
3 novembre 2014
Paquets concernés :
wget
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-4877.
Plus de précisions :

HD Moore de Rapid7 a découvert une attaque par lien symbolique dans Wget, un utilitaire en ligne de commande pour récupérer des fichiers à l’aide de HTTP, HTTPS ou FTP. La vulnérabilité permet de créer des fichiers arbitraires dans le système de l’utilisateur lorsque Wget est exécuté en mode récursif sur un serveur FTP malveillant. La création de fichier arbitraire peut écraser le contenu de fichiers de l'utilisateur ou permettre l’exécution à distance de code avec les privilèges de l’utilisateur.

Cette mise à jour modifie les réglages par défaut dans Wget de façon qu’il ne crée plus de liens symboliques locaux, mais plutôt les suit et retrouve le fichier pointé dans ces récupérations.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans wget, version 1.12-2.1+deb6u1.