Säkerhetsbulletin från Debian

DSA-1904-1 wget -- otillräcklig kontroll av indata

Rapporterat den:

2009-10-09

Berörda paket:

wget

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 549293.
I Mitres CVE-förteckning: CVE-2009-3490.

Ytterligare information:

Daniel Stenberg upptäckte att wget, ett nätverksverktyg för hämtning av filer från the Web using HTTP(S) and FTP, is vulnerable to the "Null Prefix Attacks Against webben med hjälp av HTTP(S) och FTP, är sårbar för nullprefixattacker mot SSL-/TLS-certifikat (Null Prefix Attacks Against SSL/TLS Certificates) som publicerades på Blackhat-konferensen för en tid sedan. Detta tillåter en angripare att genomföra oupptäckta mannen-i-mitten-attacker med hjälp av ett specialskrivet ITU-T X.509-certifikat med en injicerad null-byte i fältet Common Name.

För den gamla stabila utgåvan (Etch) har detta problem rättats i version 1.10.2-2+etch1.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.11.4-2+lenny1.

För uttestningsutgåvan (Squeeze) kommer detta problem att rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.12-1.

Vi rekommenderar att ni uppgraderar era wget-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1.diff.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2.orig.tar.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_ia64.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1.dsc; http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4.orig.tar.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_arm.deb
ARM EABI:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.