Перевод: Уязвимость в логике обработки симлинков в GNU Wget
GNU Wget это утилита командной строки, разработанная для скачивания файлов по протоколам HTTP, HTTPS и FTP. Версии Wget до 1.16 имеют уязвимость в обработке symlink`ов (CVE-2014–4877) при работе в рекурсивном режиме с FTP. Уязвимость позволяет злоумышленнику, управляющему FTP сервером создавать произвольные файлы и папки в файловой системе пользователя. Атака позволяет злоумышленнику перезаписать или создать любой файл, в том числе бинарный в файловой системе пользователя который запускает wget. Т.е. можно произвести атаку, выполняющую произвольный код на целевой системе, путем запуска cron, записи в bash_profile или изменения SSH authorized_keys.
wget, решето, уязвимость
wget, решето, уязвимость
Ещё новости по теме:
18:20