「Wget」に脆弱性、FTPファイル取得でローカルファイル操作のおそれ

Linuxディストリビューションなどで広く採用されているファイル取得ツール「Wget」に、任意のローカルファイルを操作される脆弱性「CVE-2014-4877」が含まれていることがわかった。修正版が公開されている。

「Wget」は、「HTTP」や「HTTPS」「FTP」といったプロトコルに対応しており、ファイルをネットワーク経由でダウンロードするソフトウェア。GNUが提供している。

同ソフトにおいてシンボリックリンクの取り扱いに脆弱性が判明したもの。FTPサーバから再帰的にファイルをダウンロードする際、細工されたシンボリックリンクがあると、任意のファイルが作成されたり、上書きされるおそれがある。

修正版として「同1.16」が公開されている。また、初期状態でローカル側にシンボリックリンクを作成しない「retr-symlinksオプション」が有効化されているという。

（Security NEXT - 2014/10/29 ） ツイート

PR

関連記事

TurboNAS用OSにShellShockの脆弱性
一部「NAT-PMP実装デバイス」に脆弱性 - WANからポートマッピング操作が可能に
三井住友海上火災のAndroid向け保険アプリに脆弱性
JavaScriptライブラリ「Aflax」に脆弱性 - 修正予定なし
CMSの「Drupal」に深刻な脆弱性 - アップデートが公開
「Adobe Digital Editions」のアップデートが公開
Flash Playerの脆弱性、公開1週間足らずで攻撃ツールに
「Windows OLE」に脆弱性、ゼロデイ攻撃が発生中 - 「Sandworm」とは別物
Apple、「iOS 8.1」を公開 - 「POODLE」対策も
「BirdBlog」にXSSの脆弱性 - 開発終了のため使用停止を