Опубликован эксплоит к опасной уязвимости в GNU wget

Опубликован эксплоит к опасной уязвимости в GNU wget

Уязвимость позволяет удаленному атакующему выполнить произвольные команды на уязвимой системе.

image

В прошлом месяце в популярной утилите GNU wget, используемой системными администраторами для загрузки файлов на Linux-серверы, была устранена опасная уязвимость, позволяющая перезаписать произвольный файл на уязвимой системе.

Уязвимость CVE-2016-4971 заключалась в ошибке при обработке имени файла, передаваемого по протоколу FTP, если в ходе загрузки файла осуществлялось перенаправление с HTTP-сервера на FTP. Злоумышленник мог перезаписать произвольный файл на уязвимой системе используя символы обхода каталога в имени загружаемого файла.

Опасность подобной уязвимости усугубляется спецификой ПО. Wget часто используют администраторы Linux-серверов, запуская приложение с привилегиями суперпользователя.

Код эксплоита к уязвимости доступен здесь . С подробным описанием работы эксплоита можно ознакомиться здесь .

Для устранения уязвимости необходимо установить последнюю версию GNU wget 1.18.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle