Debian セキュリティ勧告

DLA-82-1 wget -- LTS セキュリティ更新

報告日時:
2014-11-03
影響を受けるパッケージ:
wget
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-4877.
詳細:

Rapid7 の HD Moore さんが HTTP や HTTPS、FTP 経由でファイルを取得するコマンドラインユーティリティ Wget にシンボリックリンク攻撃を発見しました。この脆弱性は Wget が悪意のある FTP サーバに対して再帰モードで動作している場合に ユーザのシステム上で任意のファイル作成を許します。 任意のファイルを作成できることで、ユーザのファイルの内容を上書き、 あるいはそのユーザの権限でリモートからのコードの実行を許します。

この更新では Wget のデフォルト設定を変更し、 シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、 リンク先のファイルを追跡して取得するようになっています。

Debian 6Squeezeでは、この問題は wget バージョン 1.12-2.1+deb6u1 で修正されています。