[Eisfair] Verändertes verhalten von wget

Helmut Backhaus helmut.backhaus at gmx.de
Mi Mai 20 19:29:17 CEST 2015


Hallo Ansgar,

Am 20.05.2015 um 18:01 schrieb Ansgar Püster:
> Hallo Helmut,
>
> über Sicherheitsrisiken sollte man nicht lachen oder sie totschweigen,

Entweder habe ich mich falsch ausgedrückt oder die Zusammenhänge 
eventuell nicht richtig dargestellt.
Es liegt und lag mir fern darüber zu lachen und warum man sie 
totschweigen soll verstehe ich nicht.

Das war in jedem Fall nicht meine Absicht!

> aber siehe:
>
> 1.) http://www.eisfair.org/home/news/artikel/506/
>
> -- [ schnipp ] --
> Aktualisierung wget Version 1.16.3.
> -- [ schnipp ] --
>
> 2.) https://www.kb.cert.org/vuls/id/685996
>
> Beschreibt das Problem:
> GNU Wget creates arbitrary symbolic links during recursive FTP download
>
> 3.) http://savannah.gnu.org/forum/forum.php?forum_id=8133
>
>      Noteworthy changes in Wget 1.16
>          No longer create local symbolic links by default.
>          Closes CVE-2014-4877.
>

Richtig, und wenn ich das unterstehende verstanden habe, sagt es im 
Prinzip das selbe wie die von Dir genannten Links. Oder?

> Ergo: Mit einem Update auf eisfair-Version 2.6.2
> solltest du bezüglich dieses Risikos auf der sicheren
> Seite sein.

Auch richtig, schon gemacht!
Aber das war nicht der Grund meines Posts.
Es hatte jemand ein Problem mit *fehlenden* Links und ich wollte 
lediglich darauf hinweisen, dass es hier eine Änderung im Verhalten von 
wget gibt. Ob diese Änderung nun für dieses Updateverhalten ursächlich 
ist, kann ich leider *nicht* beurteilen. Und nur darauf bezog sich mein 
Hinweis, dass ich eventuell einen Lacher bei den Wissenden verursacht 
haben könnte.

>
> Gruß,
> Ansgar
>
> Am 20.05.2015 um 14:21 schrieb Helmut Backhaus:
>> Hallo zusammen,
>> ich hatte die letzten Tage hier oder in der Dev etwas von fehlenden oder
>> falschen symlinks gelesen (überflogen?!?).
>> Ich weiß leider nicht mehr in welchem Trade...
>>
>> Nun hatte ich eben einen meiner Debian Server upgedated und da habe ich
>> folgenden Hinweis bekommen:
>>    Wget was susceptible to a symlink attack which could create arbitrary
>>    files, directories or symbolic links and set their permissions when
>>    retrieving a directory recursively through FTP. This commit changes
>> the
>>    default settings in Wget such that Wget no longer creates local
>> symbolic
>>    links, but rather traverses them and retrieves the pointed-to file in
>>    such a retrieval.
>>
>>    The old behaviour can be attained by passing the --retr-symlinks=no
>>    option to the Wget invokation command.
>>
>> Könnte das etwas damit zu tun haben?
>> Ich bin nicht sicher...
>> Wenn's hilft würde mich freuen!
>> Wenn ich vollkommen daneben liege habe ich vielleicht für einen Lacher
>> gesorgt!
>>
>> Und wenn alles nicht zutrifft, vergesst es einfach! :-)
>>

Und ich glaube, dass ich das hier doch auch klar so gesagt habe, Oder?
Aber egal, vielleicht habe ich mich auch einfach nur blöde ausgedrückt.

Euch allen noch nen schönen Abend!


-- 
Gruß,
Helmut



Mehr Informationen über die Mailingliste Eisfair