Debians sikkerhedsbulletin

DSA-3062-1 wget -- sikkerhedsopdatering

Rapporteret den:
1. nov 2014
Berørte pakker:
wget
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 766981.
I Mitres CVE-ordbog: CVE-2014-4877.
Yderligere oplysninger:

HD Moore fra Rapid7 opdagede et symlinkangreb i Wget, et kommandolinjeværktøj til at hente filer via HTTP, HTTPS og FTP. Sårbarheden gjorde det muligt at oprette vilkårlige filer på brugerens system, når Wget kørte i rekursiv tilstand mod en ondsindet FTP-server. Vilkårlige filoprettelser kunne overskrive indeholdet af brugerens filer eller muliggøre fjernudførelse af kode med brugerens rettigheder.

Opdateringen ændrer standardindstillingen i Wget, så der ikke længere oprettes lokale symbolske links; i stedet gennemløbes de, og de filer, der peges på, hentes.

I den stabile distribution (wheezy), er dette problem rettet i version 1.13.4-3+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.16-1.

Vi anbefaler at du opgraderer dine wget-pakker.