Debian セキュリティ勧告

DSA-3062-1 wget -- セキュリティ更新

報告日時:
2014-11-01
影響を受けるパッケージ:
wget
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 766981.
Mitre の CVE 辞書: CVE-2014-4877.
詳細:

Rapid7 の HD Moore さんが HTTP や HTTPS、FTP 経由でファイルを取得するコマンドラインユーティリティ Wget にシンボリックリンク攻撃を発見しました。この脆弱性は Wget が悪意のある FTP サーバに対して再帰モードで動作している場合に ユーザのシステム上で任意のファイル作成を許します。 任意のファイルを作成できることで、ユーザのファイルの内容を上書き、 あるいはそのユーザの権限でリモートからのコードの実行を許します。

この更新では Wget のデフォルト設定を変更し、 シンボリックリンクを取得する際にローカルのシンボリックリンクを作成するのではなく、 リンク先のファイルを追跡して取得するようになっています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.13.4-3+deb7u2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.16-1 で修正されています。

直ちに wget パッケージをアップグレードすることを勧めます。