Säkerhetsbulletin från Debian
DSA-2088-1 wget -- städar inte indata
- Rapporterat den:
- 2010-08-05
- Berörda paket:
- wget
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 590296.
I Mitres CVE-förteckning: CVE-2010-2252. - Ytterligare information:
-
Det upptäcktes att wget, ett kommandoradsverktyg för hämtning av filer från WWW, använder filnamn som tillhandahålls av servern när lokala filer skapas. Detta kan leda till kodexekvering under vissa omständigheter.
Efter denna uppgradering, kommer wget ignorera filnamn som tillhandahålls av servern. Ni kan återgå till det gamla beteendet om ni så önskar genom att anropa wget med det nya alternativet --use-server-file-name.
För den stabila utgåvan (Lenny) har detta problem rättats i version 1.11.4-2+lenny2.
För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar ert wget-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2.dsc
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.