[Gutl-l] vulnerabilidad de wget

Fri, 31 Oct 2014 05:55:15 -0700 

unaaldia.rb cogió un teclado y escribió: 
> Wget permite a atacantes remotos la creación de archivos y directorios
> 
> Fecha: 29 de Octubre del 2014
> 
> Se ha anunciado una vulnerabilidad en wget que podría permitir a un atacante
> remoto crear archivos arbitrarios, directorios y enlaces simbólicos en el
> sistema afectado.
> 
> GNU Wget es una herramienta librepara la descarga de contenidos desde
> servidores web de una forma simple, soporta descargas mediante los protocolos
> http, https y ftp. Entre las características más destacadas está la 
> posibilidad
> de fácil descarga de mirrors complejos de forma recursiva (cualidad que 
> permite
> la vulnerabilidad descubierta), conversión de enlaces para la visualización de
> contenidos HTMLlocalmente, soporte para proxies, etc.
> 
> El problema, con CVE-2014-4877, reside en un ataque de enlace simbólico, de
> forma que un atacante remoto podría crear un directorio específicamente
> manipulado que al ser recuperado de forma recursiva a través de ftp, podría
> crear archivos arbitrarios, directorios o enlaces simbólicos y asignar sus
> permisos en el sistema.
> 
> Se ha publicado la versión 1.16 que soluciona el problema, disponible en:
> ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.gz
> ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.xz
> también existe una corrección en forma de código fuente:
> http://git.savannah.gnu.org/cgit/wget.git/commit/?id=
> 18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7
> 
> Más información:
> 
> index : wget.git
> http://git.savannah.gnu.org/cgit/wget.git/commit/?id=
> 18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7
> 
> GNU wget 1.16 released
> http://lists.gnu.org/archive/html/bug-wget/2014-10/msg00150.html
> 
> 
> 
>                                                                  Antonio 
> Ropero
>                                                           
> anton...@hispasec.com
>                                                               Twitter: 
> @aropero
> *

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a