wget z buffer overflow – lepiej nie ściągajcie plików z niezaufanych źródeł

Wydawałoby się, że w tak popularnym narzędziu jak wget ciężko znaleźć dużą podatność. Tymczasem wypuszczono niedawno nową wersję wget-a, łatającą buffer overflow:

Kusano Kazuhiko discovered a buffer overflow vulnerability in the handling of Internationalized Resource Identifiers (IRI) in wget, a network utility to retrieve files from the web, which could result in the execution of arbitrary code or denial of service when recursively downloading from an untrusted server.

Jeśli ofiara pobierze plik z odpowiednio spreparowanego źródła, możliwe będzie wykonanie wrogiego kodu na jej komputerze. Podatność występuje w obsłudze IRI (rozszerzeniu URI). Dystrybucje Linuksa przygotowały już stosowne łatki.

Wg RedHata krytyczność podatności to aż 8.8/10 (skala CVSSv3), więc warto pospieszyć się z łataniem.

–ms