Säkerhetsbulletin från Debian

DSA-3062-1 wget -- säkerhetsuppdatering

Rapporterat den:
2014-11-01
Berörda paket:
wget
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 766981.
I Mitres CVE-förteckning: CVE-2014-4877.
Ytterligare information:

HD Moore från Rapid7 upptäckte ett symlänkangrepp i Wget, ett kommandoradsverktyg för att hämta filer via HTTP, HTTPS och FTP. Sårbarheten tillåter att skapa godtyckliga filer på användarens system när Wget kör i rekursivt läge mot en illasinnad FTP-server. Skapande av godtyckliga filer kan skriva över innehåll på användarens filer eller kan tillåta körning av fjärrkod med samma rättigheter som användaren.

Denna uppdatering förändrar standardinställningen i Wget så att det inte längre skapar lokala symboliska länkar, utan istället följer dem och hämtar länkens mål under en sådan hämtning.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.13.4-3+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.16-1.

Vi rekommenderar att ni uppgraderar era wget-paket.