[Eisfair] Verändertes verhalten von wget

Ansgar Püster ansgar.puester at netcologne.de
Mi Mai 20 18:01:27 CEST 2015


Hallo Helmut,

über Sicherheitsrisiken sollte man nicht lachen oder sie totschweigen,
aber siehe:

1.) http://www.eisfair.org/home/news/artikel/506/

-- [ schnipp ] --
Aktualisierung wget Version 1.16.3.
-- [ schnipp ] --

2.) https://www.kb.cert.org/vuls/id/685996

Beschreibt das Problem:
GNU Wget creates arbitrary symbolic links during recursive FTP download

3.) http://savannah.gnu.org/forum/forum.php?forum_id=8133

     Noteworthy changes in Wget 1.16
         No longer create local symbolic links by default.
         Closes CVE-2014-4877.

Ergo: Mit einem Update auf eisfair-Version 2.6.2
solltest du bezüglich dieses Risikos auf der sicheren
Seite sein.

Gruß,
Ansgar

Am 20.05.2015 um 14:21 schrieb Helmut Backhaus:
> Hallo zusammen,
> ich hatte die letzten Tage hier oder in der Dev etwas von fehlenden oder
> falschen symlinks gelesen (überflogen?!?).
> Ich weiß leider nicht mehr in welchem Trade...
>
> Nun hatte ich eben einen meiner Debian Server upgedated und da habe ich
> folgenden Hinweis bekommen:
>    Wget was susceptible to a symlink attack which could create arbitrary
>    files, directories or symbolic links and set their permissions when
>    retrieving a directory recursively through FTP. This commit changes the
>    default settings in Wget such that Wget no longer creates local symbolic
>    links, but rather traverses them and retrieves the pointed-to file in
>    such a retrieval.
>
>    The old behaviour can be attained by passing the --retr-symlinks=no
>    option to the Wget invokation command.
>
> Könnte das etwas damit zu tun haben?
> Ich bin nicht sicher...
> Wenn's hilft würde mich freuen!
> Wenn ich vollkommen daneben liege habe ich vielleicht für einen Lacher
> gesorgt!
>
> Und wenn alles nicht zutrifft, vergesst es einfach! :-)
>
> Bis bald...
>



Mehr Informationen über die Mailingliste Eisfair