The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость локальных имён в wget, lftp и lwp-download"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость локальных имён в wget, lftp и lwp-download"  +/
Сообщение от opennews on 04-Сен-10, 11:47 
Год назад разработчики проекта OpenWall (http://www.openwall.com/) обнаружили (http://www.ocert.org/advisories/ocert-2010-001.html) опасную уязвимость в трёх популярных консольных менеджерах загрузок: wget (http://www.openwall.com/lists/oss-security/2010/05/18/13), lftp и lwp-download, которая заключается в том, что эти программы не проверяют имя файла, полученное с сервера после перенаправления (HTTP Redirect), поэтому удалённый атакующий может подменить или добавить файлы, например, в домашнюю директорию. Опасность для lftp и lftpget увеличивается в связи с тем, что утилиты по умолчанию переписывают файлы без предупреждения.


На днях эта уязвимость была исправлена (http://lftp.yar.ru/) в релизе 4.0.10 пакетов lftp и lwp-download, разработчики wget исправлять её не собираются и не считают её опасной.

URL: http://www.ocert.org/advisories/ocert-2010-001.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=27848

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость локальных имён в wget, lftp и lwp-download"  +/
Сообщение от Экономный on 04-Сен-10, 11:50 
За разработчиков могут это сделать и другие люди, на то он и opensource, это вам не adobereader знаете-ли.

http://www.ubuntu.com/usn/usn-982-1
>> In general, a standard system update will make all the necessary changes.
>> 1.12-1.1ubuntu2.1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Уязвимость локальных имён в wget, lftp и lwp-download"  –1 +/
Сообщение от Аноним (??) on 04-Сен-10, 16:20 
алиасы в намеде тоже пофиксить надо. а то пытаешься попасть по одному адресу а удаленный ДНС атакуэ и перенаправляет совсем на другой...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Уязвимость локальных имён в wget, lftp и lwp-download"  +/
Сообщение от Иван Иванович Иванов on 06-Сен-10, 20:05 
вы уже научились ломать любой DNS сервер?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Уязвимость локальных имён в wget, lftp и lwp-download"  +/
Сообщение от Buy email(??) on 05-Сен-10, 12:15 
Да, в убунте пофиксили, молодцы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Уязвимость локальных имён в wget, lftp и lwp-download"  +/
Сообщение от аноним on 07-Сен-10, 03:44 
Во фре тоже. Судя по коммит логу, разработчики wget включили голову и пофиксили в апстриме все-таки.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру