CVE-2014-4877: Vulnerabilidad en Wget FTP

Todo Linuxero conoce la aplicación Wget ya que es ampliamente utilizado en sistemas Linux y Unix para la recuperación de archivos de la web, se ha v encontrado vulnerable a una falla crítica.

Para quien no sabe GNU Wget es una utilidad de línea de comandos, I CLI, diseñado para recuperar archivos desde la Web utilizando HTTP, HTTPS y FTP, los protocolos de Internet más utilizados. Wget puede ser instalado fácilmente en cualquier sistema Unix y ha sido portado a muchos entornos, incluyendo Microsoft Windows, Mac OS X, OpenVMS, MorphOS y AmigaOS.

Cuando un directorio recursivo tiene como objetivo buscar en más de un servidor FTP, sería dejar que un atacante pueda crear archivos arbitrarios, directorios o enlaces simbólicos“, debido a una falla de enlace simbólico.
   
La vulnerabilidad fue reportada por HD Moore, jefe de investigación de Rapid7, y se considera critica ya que esta presente en casi todos los servidores Linux en el mundo, inclusive instalable en OS X
Felizmente la vulnerabilidad ha sido rapidamente parchada por el proyecto Wget en wget 1.16, bloqueando la configuración predeterminada que permite la creación de enlaces simbólicos locales.
Dando un respiro, a los sysadmin. Ojala y pronto llegue a todas las distribuciones, al menos en Arch ya esta presente (cuando llega a Manjaro :/) y en Debian seguimos en la 1.13.
Para saber que versión de Wget están usando, basta el siguiente comando.

$ wget -V

Como sugerencia, si no son habituales de usarlo pues bórrenlo hasta que este presente la 1.16 en sus repositorios o pues vivan al máximo y corran el riesgo wajaja! 
Ahora si no se pueden esperar al update en su repositorio pues instalenlo desde acá http://lists.gnu.org/archive/html/bug-wget/2014-10/msg00150.html
Buenas vibras lectores. 
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s