Wget 爆出 CVE-2014-4877 漏洞：FTP 符號(hào)鏈接任意文件系統(tǒng)訪問。

Package: wget
Version: 1.15-1
Severity: important

Upstream fix：

http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

References：https://bugzilla.redhat.com/show_bug.cgi?id=1139181
＝＝＝＝＝＝＝
Wget 受到了符號(hào)鏈接攻擊，可以創(chuàng)建任意文件，目錄或者符號(hào)鏈接，并且可以通過 FTP 遞歸的設(shè)置訪問權(quán)限。這個(gè) commit 修改是 Wget 默認(rèn)設(shè)置的，Wget 不再創(chuàng)建本地符號(hào)鏈接，不再遍歷他們，而是檢索指向的文件。舊的行為可以通過 Wget invokation 命令的 --retr-symlinks＝no 選項(xiàng)來獲取。
＝＝＝＝＝＝＝

文章轉(zhuǎn)載自 開源中國(guó)社區(qū) [http://www.oschina.net]

總結(jié)

以上是生活随笔為你收集整理的Wget CVE-2014-4877：FTP 符号链接任意文件系统访问的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。