こんにちは
GNU Wgetにてシンボリックリンクの扱いに関する脆弱性が確認されました。
影響範囲と対策についてまとめていきたいと思います。
影響
FTPで再帰的にファイルをダウンロードする際にサーバから取得するディレクトリ一覧の中に
細工されたシンボリックリンクが仕込まれていると、ユーザの権限で任意のファイルを作成、上書きをされる可能性があります。
対策
本脆弱性の対策としてバージョン 1.16 がリリースされています。
最新版にアップデートを行うことで、サーバから取得したファイル一覧情報の検査が追加され、 retr-symlinks オプションがデフォルトで有効になります。
ワークアラウンドとして、retr-symlinks オプション有効での利用が挙げられています。
参考リンク
・GNU Wget にシンボリックリンクの扱いに関する問題
http://jvn.jp/vu/JVNVU98581917
・GNU wget 1.16 released
投稿者プロフィール
最新の投稿
AWS2021年12月2日AWS Graviton3 プロセッサを搭載した EC2 C7g インスタンスが発表されました。
セキュリティ2021年7月14日ゼロデイ攻撃とは- セキュリティ2021年7月14日マルウェアとは
- WAF2021年7月13日クロスサイトスクリプティングとは?
