[脆弱性情報]GNU Wget にシンボリックリンクの扱いに関する問題

こんにちは
GNU Wgetにてシンボリックリンクの扱いに関する脆弱性が確認されました。
影響範囲と対策についてまとめていきたいと思います。

影響

FTPで再帰的にファイルをダウンロードする際にサーバから取得するディレクトリ一覧の中に
細工されたシンボリックリンクが仕込まれていると、ユーザの権限で任意のファイルを作成、上書きをされる可能性があります。

対策

本脆弱性の対策としてバージョン 1.16 がリリースされています。
最新版にアップデートを行うことで、サーバから取得したファイル一覧情報の検査が追加され、 retr-symlinks オプションがデフォルトで有効になります。
ワークアラウンドとして、retr-symlinks オプション有効での利用が挙げられています。

参考リンク

・GNU Wget にシンボリックリンクの扱いに関する問題

http://jvn.jp/vu/JVNVU98581917

・GNU wget 1.16 released

http://savannah.gnu.org/forum/forum.php?forum_id=8133

AWS・クラウドのMSP スカイアーチネットワークス株式会社

AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。

投稿者プロフィール

スカイブロガー

影響

対策