Wget, änderung durch update ?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Thorleif
Beiträge: 21
Registriert: 09.09.2012 07:43:28

Wget, änderung durch update ?

Beitrag von Thorleif » 06.11.2014 14:23:24

Hallo!

Als ich grade per apt-get update && apt-get upgrade mein Betriebssystem aktualisieren wollte
habe ich eine "untypische" Mitteilung erhalten das irgend etwas an dem befehl wget geändert wurde.
Mir wurde auch eine email hinterlegt.

Hier der Inhalt :

Code: Alles auswählen

From 18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7 Mon Sep 17 00:00:00 2001
  From: Darshit Shah <darnir@gmail.com>
  Date: Sun, 07 Sep 2014 19:11:17 +0000
  Subject: CVE-2014-4877: Arbitrary Symlink Access

  Wget was susceptible to a symlink attack which could create arbitrary
  files, directories or symbolic links and set their permissions when
  retrieving a directory recursively through FTP. This commit changes the
  default settings in Wget such that Wget no longer creates local symbolic
  links, but rather traverses them and retrieves the pointed-to file in
  such a retrieval.

  The old behaviour can be attained by passing the --retr-symlinks=no
  option to the Wget invokation command.

 -- Thorsten Alteholz <debian@alteholz.de>  Wed, 29 Oct 2014 19:00:14 +0100
Das kommt mir doch recht Spanisch vor, zumal der absender die Adresse darnir@gmail.com hat.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Wget, änderung durch update ?

Beitrag von Lord_Carlos » 06.11.2014 14:30:29

Es gab eine sicherheitsluecke in wget.
Der typ ist wohl einer der entwickler https://github.com/darnir

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Thorleif
Beiträge: 21
Registriert: 09.09.2012 07:43:28

Re: Wget, änderung durch update ?

Beitrag von Thorleif » 06.11.2014 15:12:56

Ui super, danke! Das beruhigt mich erstmal!
Ich werde trotzdem mein System mal auf Herz und Niere testen ... zumindest sogut ich's kann.

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Wget, änderung durch update ?

Beitrag von Blackbox » 06.11.2014 16:12:35

Hier das CVE zur Lücke.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
mindX
Beiträge: 1541
Registriert: 27.03.2009 19:17:28
Lizenz eigener Beiträge: GNU General Public License

Re: Wget, änderung durch update ?

Beitrag von mindX » 06.11.2014 16:16:04


Antworten