[脆弱性情報]GNU Wget にシンボリックリンクの扱いに関する問題

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは
GNU Wgetにてシンボリックリンクの扱いに関する脆弱性が確認されました。
影響範囲と対策についてまとめていきたいと思います。

影響

FTPで再帰的にファイルをダウンロードする際にサーバから取得するディレクトリ一覧の中に
細工されたシンボリックリンクが仕込まれていると、ユーザの権限で任意のファイルを作成、上書きをされる可能性があります。

対策

本脆弱性の対策としてバージョン 1.16 がリリースされています。
最新版にアップデートを行うことで、サーバから取得したファイル一覧情報の検査が追加され、 retr-symlinks オプションがデフォルトで有効になります。
ワークアラウンドとして、retr-symlinks オプション有効での利用が挙げられています。

参考リンク

・GNU Wget にシンボリックリンクの扱いに関する問題

http://jvn.jp/vu/JVNVU98581917

・GNU wget 1.16 released

http://savannah.gnu.org/forum/forum.php?forum_id=8133

コメントを残す

メールアドレスが公開されることはありません。

Time limit is exhausted. Please reload CAPTCHA.