Re: [Gutl-l] vulnerabilidad de wget

Fri, 31 Oct 2014 07:15:22 -0700

alguien que este usando algún script para descargas con aria2c o axel ver si lo puede compartir. 



Saludos





*SaLvAdOr SaNcHeZ SaNcHeZ
*Administrador de Redes
*Dirección Municipal de Salud
*Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/
*Proud GNU/Linux User # 525811
*http://counter.li.org/
*Cacocum - Holguín


" - Se es viejo cuando se tiene más alegria por el pasado que por el 
futuro. -   "


El 31/10/2014 09:41 AM, låzaro escribió:

Otro Saludo Delio, yo pienso que mientras descargues un archivo que
sabes que está ahí, no debe haber peligro, la cuestión es no
automatizar wget a ciegas.

Por ejemplo, ese wget -m que crea un burujon de directorios, a mi en
lo personal nunca me ha gustado...

Pero si una aplicación tan prestigiosa como wget se ve afectada, no
dudo que otros también.

Prueba aria2c o axel que descargan más rápido que wget...


Thread name: "Re: [Gutl-l] vulnerabilidad de wget"
Mail number: 2
Date: Fri, Oct 31, 2014
In reply to: Delio Orozco González


Lazarito:

Tu no pierdes la costumbre de aguarle la fiesta a uno :-) Ayer mismo probé "awgg", un excelente 
frontend creado por el compatriota Reinier Romero. La aplicación no tiene nada que envidiarle a 
"uget" y de hecho la prefiero por aquello de "que lo mio primero". La probé descargando 
la última versión de Kingsoft y funcionó a las mil maravillas porque en medio de la descarga se fue el fluido 
(¿cosa extraña verdad?) y cuando reinicié fue como el primer día. Después, en el portal, escribiré una nota 
divulgativa sobre este proyecto cubano.

Un saludo cordial para tí y a todos nuestros colisteros,

--
Delio Orozco González.
Historiador.
Manzanillo de Cuba.

On Fri, 31 Oct 2014 08:52:44 -0400
låzaro <laz...@hcg.sld.cu> wrote:


unaaldia.rb cogió un teclado y escribió:

Wget permite a atacantes remotos la creación de archivos y directorios

Fecha: 29 de Octubre del 2014

Se ha anunciado una vulnerabilidad en wget que podría permitir a un atacante
remoto crear archivos arbitrarios, directorios y enlaces simbólicos en el
sistema afectado.

GNU Wget es una herramienta librepara la descarga de contenidos desde
servidores web de una forma simple, soporta descargas mediante los protocolos
http, https y ftp. Entre las características más destacadas está la posibilidad
de fácil descarga de mirrors complejos de forma recursiva (cualidad que permite
la vulnerabilidad descubierta), conversión de enlaces para la visualización de
contenidos HTMLlocalmente, soporte para proxies, etc.

El problema, con CVE-2014-4877, reside en un ataque de enlace simbólico, de
forma que un atacante remoto podría crear un directorio específicamente
manipulado que al ser recuperado de forma recursiva a través de ftp, podría
crear archivos arbitrarios, directorios o enlaces simbólicos y asignar sus
permisos en el sistema.

Se ha publicado la versión 1.16 que soluciona el problema, disponible en:
ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.gz
ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.xz
también existe una corrección en forma de código fuente:
http://git.savannah.gnu.org/cgit/wget.git/commit/?id=
18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

Más información:

index : wget.git
http://git.savannah.gnu.org/cgit/wget.git/commit/?id=
18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

GNU wget 1.16 released
http://lists.gnu.org/archive/html/bug-wget/2014-10/msg00150.html



                                                                  Antonio Ropero
                                                           anton...@hispasec.com
                                                               Twitter: @aropero
*


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est_ limpio.





--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l






















					Responder a