Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4195-1 wget

Debians sikkerhedsbulletin

DSA-4195-1 wget -- sikkerhedsopdatering

Rapporteret den:

8. maj 2018

Berørte pakker:

wget

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 898076.
I Mitres CVE-ordbog: CVE-2018-0494.

Yderligere oplysninger:

Harry Sintonen opdagede at wget, et netværksværktøj til hentning af filer fra nettet, ikke på korrekt vis håndterede '\r\n' fra fortsættelseslinjer, mens HTTP-headeren Set-Cookie blev fortolket. En ondsindet webserver kunne udnytte fejlen til at indsprøjte vilkårlige cookies til cookiejarfilen, tilføje nye eller erstatte eksisterende cookieværdier.

I den gamle stabile distribution (jessie), er dette problem rettet i version 1.16-1+deb8u5.

I den stabile distribution (stretch), er dette problem rettet i version 1.18-5+deb9u2.

Vi anbefaler at du opgraderer dine wget-pakker.

For detaljeret sikkerhedsstatus vedrørende wget, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wget