Рекомендация Debian по безопасности

DSA-3062-1 wget -- обновление безопасности

Дата сообщения:
01.11.2014
Затронутые пакеты:
wget
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 766981.
В каталоге Mitre CVE: CVE-2014-4877.
Более подробная информация:

Эйчди Мур из Rapid7 обнаружил атаку через символические ссылки в Wget, утилите для загрузки файлов через HTTP, HTTPS и FTP для командной строки. Уязвимость позволяет создавать произвольные файлы в пользовательской системе в случае, если Wget запущен в рекурсивном режиме для загрузки с FTP-сервера злоумышленника. Создание произвольный файлов может привести к перезаписи файлов пользователя, а также к удалённому выполнению кода с правами пользователя.

Данное обновление изменяет настройки Wget по умолчанию, более утилита не создаёт локальных символических ссылок, но раскрывает их и загружает файлы, на которые эти ссылки указывают.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.13.4-3+deb7u2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.16-1.

Рекомендуется обновить пакеты wget.