所有Linux发行版仍未修复严重的GNU wget漏洞-阿里云开发者社区

开发者社区> 玄学酱> 正文

所有Linux发行版仍未修复严重的GNU wget漏洞

简介:
+关注继续查看

 先前,安全研究员Dawid GolunskiSecuriTeam曝出GNU wget漏洞69日,GNU wget项目发布文件下载包新版1.18修复漏洞。

CVE-2016-4971 漏洞回顾

GUN wget 作为*nix 系统常用下载工具,支持http、https、ftp 等多种协议,当使用wget 下载文件时,若初始下载http服务提供的下载资源, 如果服务器将下载资源重定向到ftp服务时,wget 会默认信赖http服务器重定向的ftp 链接地址和文件名,而不做二次验证。从而可能下载到恶意钓鱼者的恶意文件,导致主机被入侵。

将近一个月后,包含GNU wget标准包的所有Linux发行版仍未修复被曝漏洞(CVE-2016-4971)。

GNU wget漏洞导致远程代码执行

安全研究员Dawid Golunski在公告中解释道,恶意攻击者能诱骗wget文件下载过程在Linux设备上执行代码。

Dawid Golunski通过电子邮件告诉外媒,“攻击者可能潜在滥用漏洞上传任意文件并执行代码。”

20160708111725967.jpg

GNU wget是从网络上自动下载文件的Linux命令行实用工具。如果链接发生变化,GNU wget支持URL重定向。

当重定向到FTP链接时,GNU wget不重命名文件

Golunski发现,当从最初的HTTP URL重定向到FTP链接时,wget不能正确处理文件名。

比 如,如果攻击者通过wget控制定期下载文件的服务器,攻击者可以使用302重定向文件。运行wget http://attackers-server/safe_file.txt命令的用户将被重定向到下载ftp://attackers-server /.bash_profile。

在正常的HTTP重定向到HTTP中,为了防止远程代码执行(Remote Code Execution,缩写RCE),GNU wget将以原始文件名重命名第二个文件(.bash_profile to safe_file.txt)。然而,从HTTP重定向到FTP链接时,wget不包含该安全机制。这个问题影响打补丁1.18版本之前的所有GNU wget版本。

因为wget命令经常用于大多数时候自动执行下载文件的脚本中,这就让攻击者有了可乘之机。所有系统管理员应审查将wget作为首选下载内容的Cronjobs。

受影响的Linux发行版迟迟未修复

虽然GNU wget项目履行了自己的职责,但一些Linux发行版却未及时更新。Golunski表示,只有Ubuntu将GNU wget1.18(如wget 1.17-1)包含在wget发行版更新中。Arch Linux等发行版自6月中旬就已修复了该问题。

另一热门Linux OS—Debian特别配备了网络专家修复该问题。Wget 1.18目前包含在最新“测试”和“不稳定”版本中。

另一方面,Red Hat已经推迟修复7.x中存在的该问题,同时还宣布未修复旧版6.x和5.x版本中的wget问题。

虽然CVE-2016-4971安全隐患较高,但打补丁的速度也比较慢。

研究人员通过电子邮件告诉外媒,“重要的是,wget发布了已经发布了新版1.18,因此,如果用户受影响且希望得到安全保障,他们可以下载官方资源。”

Golunski和SecuriTeam已经发布了安全公告,内容包含漏洞与概念验证详情,以提高对问题的认识。





====================================分割线================================


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ECS的使用感受
在学校结合所学的知识,运用在阿里云上,学思悟践,使我进步了很多!
9 0
AI国家队研发如何兼具高精尖与接地气?明略科技给出答案
通过科学院、技术委员会、技术 BP 三套纵横交错的机制设立,数千人规模的团队有效地避免研发工作的重复,同时让研发得以多地结果,价值实现叠加和复用。
5 0
Linux常用命令
文章目录 Linux常用命令 1.修改基本配置 1.1修改主机名 1.2修改ip地址 1.3修改ip和主机名的映射 1.4关闭防火墙 2.常用快捷键 3.日常操作命令 4.文件操作命令 4.1基本命令 4.2文件夹命令 4.3创建文件 4.4vi命令 4.5vim介绍 5.文件权限命令
3 0
2021年12月1号 linux系统优化
本文均为本人实操整理,请勿搬运,学习交流可以随时评论---魏红斌
6 0
刷屏的ZAO换脸APP你玩了吗?里面的霸王条款你造吗?
你的朋友圈被换脸视频刷屏了吗?昨天,一款换脸手机 APP——Zao 在各大应用商店上线,还不到一天的时间就在微博、朋友圈等各大平台刷屏。和此前大热的各种 deepfakes 视频一样,这款 APP 也可以实现换脸功能。不同的是,这次,换脸的门槛再一次降低,每个人都可以在手机上制作换脸视频了。但是,在上传照片之前,请详细阅读《用户协议》。
3 0
【大学四年自学Java的学习路线】写了一个月,这是一份最适合普通大众、非科班的路线,祝你零基础快速找到一份满意的工作(3)
【大学四年自学Java的学习路线】写了一个月,这是一份最适合普通大众、非科班的路线,祝你零基础快速找到一份满意的工作
5 0
学妹抱怨Spring入门太难了,我用一篇文章彻底征服了她(1)
学妹抱怨Spring入门太难了,我用一篇文章彻底征服了她
6 0
SpringBoot项目集成FTP
FTP是一个文件传输协议,被开发人员广泛用于在互联网中文件传输的一套标准协议。而我们通常在开发过程中也要通过FTP来搭建文件系统,用于存储系统文件等。目前正值SpringBoot热潮,所以接下来会一起学习一下SpringBoot如何集成FTP,以及相关的FTP组件包,还有其主要提供的几个方法。
3 0
想学习,无方法,十年老码农告诉你方法
想学习,无方法,十年老码农告诉你方法
5 0
AI 进入工业化进程,百度要用这三大打法,加速智能革命
8 月 29 日,「ABC SUMMIT 2019 百度云智峰会」在北京国家会议中心举行。百度副总裁、智能云事业群组总经理尹世明一口气发布了 18 大智能计算新品及 7 大场景解决方案,讲述了 6 个典型客户案例,宣布成立了 1 个生态联盟。
3 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
17436
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载