• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3062-1 wget -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3062-1 wget -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
wget (any)
Описание
Эйчди Мур из Rapid7 обнаружил атаку через символические ссылки в Wget, утилите для
загрузки файлов через HTTP, HTTPS и FTP для командной строки. Уязвимость
позволяет создавать произвольные файлы в пользовательской системе в случае, если Wget запущен в
рекурсивном режиме для загрузки с FTP-сервера злоумышленника. Создание произвольный файлов
может привести к перезаписи файлов пользователя, а также к удалённому выполнению кода с
правами пользователя.
Данное обновление изменяет настройки Wget по умолчанию, более утилита не создаёт
локальных символических ссылок, но раскрывает их и загружает
файлы, на которые эти ссылки указывают.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1.13.4-3+deb7u2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1.16-1.
Рекомендуется обновить пакеты wget.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
wget - 1.13.4-3+deb7u2
Ссылки
http://www.debian.org/security/dsa-3062/

Источник: CVE
Наименование: CVE-2014-4877
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4877