Säkerhetsbulletin från Debian
DSA-209-1 wget -- katalogtraversering
- Rapporterat den:
- 2002-12-12
- Berörda paket:
- wget
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6352.
I Mitres CVE-förteckning: CVE-2002-1344, CVE-2002-1565. - Ytterligare information:
-
Två problem har upptäckts i paketet wget som medföljer i Debian GNU/Linux:
- Stefano Zacchiroli upptäckte en buffertlängdsöverträdelse i funktionen url_filename, vilket fick wget att begå ett segmenteringsfel för väldigt långa URL:er.
- Steven M. Christey upptäckte att wget inte verifierade vad ftp-servrar svarade på NLST-kommandot: det får inte innehålla någon kataloginformation, då detta kan användas för att få ftp-klienten att skriva över godtyckliga filer.
Båda problemen har rättats i version 1.5.3-3.1 för Debian GNU/Linux 2.2/Potato samt version 1.8.1-6.1 för Debian GNU/Linux 3.0/Woody.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1.dsc
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3.orig.tar.gz
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_arm.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_i386.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_m68k.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_powerpc.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.5.3-3.1_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.diff.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.dsc
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1.diff.gz
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_arm.deb
- hppa (HP PA RISC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_hppa.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_i386.deb
- ia64 (Intel ia64):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_ia64.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_m68k.deb
- mips (MIPS (Big Endian)):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_mips.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_powerpc.deb
- s390 (IBM S/390):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_s390.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/w/wget/wget_1.8.1-6.1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.