1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

新闻 Wget CVE-2014-4877:FTP 符号链接任意文件系统访问 下载

本帖由 漂亮的石头2014-10-29 发布。版面名称:软件资讯

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    486,020
    赞:
    46
    Wget 爆出 CVE-2014-4877 漏洞:FTP 符号链接任意文件系统访问。

    Package: wget
    Version: 1.15-1
    Severity: important

    Upstream fix:

    http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

    References:https://bugzilla.redhat.com/show_bug.cgi?id=1139181
    =======
    Wget 受到了符号链接攻击,可以创建任意文件,目录或者符号链接,并且可以通过 FTP 递归的设置访问权限。这个 commit 修改是 Wget 默认设置的,Wget 不再创建本地符号链接,不再遍历他们,而是检索指向的文件。旧的行为可以通过 Wget invokation 命令的 --retr-symlinks=no 选项来获取。
    =======
    Wget CVE-2014-4877:FTP 符号链接任意文件系统访问下载地址
     
正在加载...