Alerta de Segurança Debian
DSA-209-1 wget -- passagem de diretório
- Data do Alerta:
- 12 Dez 2002
- Pacotes Afetados:
- wget
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6352.
No dicionário CVE do Mitre: CVE-2002-1344, CVE-2002-1565. - Informações adicionais:
-
Dois problemas foram encontrados no pacote wget que é distribuído no Debian GNU/Linux:
- Stefano Zacchiroli encontrou um buffer overrun na função url_filename, que faz com que o wget trave ao acessar URLs muito longas
- Steven M. Christey descobriu que o wget não verifica se o servidor FTP responde a um comando NLST: ele deve não conter nenhuma informação de diretório, uma vez que pode ser usado para fazer com que um cliente FTP sobrescreva arquivos arbitrários.
Ambos os problemas foram corrigidos na versão 1.5.3-3.1 para o Debian GNU/Linux 2.2 (potato) e na versão 1.8.1-6.1 para o Debian GNU/Linux 3.0 (woody).
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.dsc
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3.orig.tar.gz
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_arm.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_i386.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_m68k.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_powerpc.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.diff.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.dsc
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.diff.gz
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_arm.deb
- hppa (HP PA RISC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_hppa.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_i386.deb
- ia64 (Intel ia64):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_ia64.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_m68k.deb
- mips (MIPS (Big Endian)):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_mips.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_powerpc.deb
- s390 (IBM S/390):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_s390.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.