Рекомендация Debian по безопасности

DLA-82-1 wget -- обновление безопасности LTS

Дата сообщения:
03.11.2014
Затронутые пакеты:
wget
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-4877.
Более подробная информация:

Эйчди Мур из Rapid7 обнаружил возможность атаки через символьные ссылки в Wget, утилите командной строки для загрузки файлов по протоколам HTTP, HTTPS и FTP. Эта уязвимость позволяет создавать произвольные файлы в пользовательской системе в том случае, когда Wget запущен в рекурсивном режиме для обработки FTP-сервера злоумышленника. Создание произвольных файлов может привести к перезаписи содержимого файлов пользователя или позволить удалённо выполнить код с правами пользователя.

Данное обновление изменяет настройки по умолчанию в Wget так, что программа более не создаёт локальные символьные ссылки, а переходит по ним и загружает файл, на который указывает ссылка.

В Debian 6 Squeeze эти проблемы были исправлены в пакете wget версии 1.12-2.1+deb6u1