Выпуск GNU Wget 1.16 с устранением критической уязвимости

27.10.2014 20:24

После десяти месяцев разработки доступна новая версия программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP - GNU Wget 1.16.

Ключевые улучшения:

Добавлена опция "--show-progress", принудительно включающая отображение строки с прогрессом выполнения операции. Изменен вывод по умолчанию строки, отображающей прогресс выполнения загрузки;
Добавлена опция "--start-pos", позволяющая начать загрузку с явно указанной позиции;
Добавлена опция "--no-config", при которой не выполняется обработка файла конфигурации (wgetrc);
Отключено создание по умолчанию локальных символических ссылок (закрыта уязвимость CVE-2014-4877, позволявшая создавать символические ссылки для доступа к произвольным файлам при рекурсивной загрузке через FTP);
Для проверки принадлежности cookie домену задействована библиотека libpsl, предоставляющая список доменных имён, в которых могут быть зарегистрированы поддомены пользователей;
Решены проблемы, проявляющиеся с ISA Server Proxy и с keep-alive соединениями.

Дополнение: уязвимость CVE-2014-4877 оказалась опаснее, чем предполагалось - при рекурсивной загрузке с FTP-сервера, подконтрольному атакующему, можно переписать любые файлы на локальной системе, насколько это позволяют права доступа пользователя, под которым запущен wget.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40942-wget

Ключевые слова: wget

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.1, A.Stahl (ok), 20:32, 27/10/2014 [ответить] [﹢﹢﹢] [ · · · ]	+15 +/–
Ура! Лучший браузер всех времён и народов (Телнетовцы, молчать!)

2.2, Аноним (-), 20:39, 27/10/2014 [^] [^^] [^^^] [ответить]	+3 +/–
netcat круче их обоих :P

3.3, dimqua (ok), 20:41, 27/10/2014 [^] [^^] [^^^] [ответить]	–21 +/–
PuTTY!

4.4, Чебурашка (?), 20:58, 27/10/2014 [^] [^^] [^^^] [ответить]	+10 +/–
Сам-то понял, что не в тему ляпнул?

5.20, Andrey Mitrofanov (?), 13:36, 28/10/2014 [^] [^^] [^^^] [ответить]

+/–

> Сам-то понял, что не в тему ляпнул?

То есть ты незнал, что в putty.exe есть "telbet" ?

#>>Телнетовцы, молчать!)

6.27, Чебурашка (?), 11:15, 29/10/2014 [^] [^^] [^^^] [ответить]	–1 +/–
В putty много, что есть. Равносильно сказать: "bash".

7.28, dimqua (ok), 14:41, 30/10/2014 [^] [^^] [^^^] [ответить]	+/–
Какой bash? Бздуны и виндузятники ничего кроме putty.exe не знают. Инфа 100%.

2.5, Аноним (-), 21:02, 27/10/2014 [^] [^^] [^^^] [ответить]	–1 +/–
куда браузер? закачкер же, не?

3.6, pkunk (ok), 21:05, 27/10/2014 [^] [^^] [^^^] [ответить]	+3 +/–
http://stallman.org/stallman-computing.html

1.17, Аноним (-), 10:43, 28/10/2014 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Я так понимаю, если контент полностью грузить через ajax, то эта штука бессильна что-то загрузить.

2.18, arisu (ok), 10:57, 28/10/2014 [^] [^^] [^^^] [ответить]	+3 +/–
> Я так понимаю, если контент полностью грузить через ajax, то такой сайт не нужен.

3.22, Аноним (-), 20:22, 28/10/2014 [^] [^^] [^^^] [ответить]	–2 +/–
>> Я так понимаю, если контент полностью грузить через ajax, то > такой сайт не нужен. тебе — не нужен, а менее упoрoтым может быть нужен. хороший пример такого сайта — meduza.io.

4.23, arisu (ok), 00:47, 29/10/2014 [^] [^^] [^^^] [ответить]	+/–
> хороший пример такого сайта — meduza.io. да, отличный пример. идеальный новостной формат: радикально тёмный экран без текста. все бы сайты подобного направления поддержали — было бы отлично.

2.19, rain87 (?), 12:59, 28/10/2014 [^] [^^] [^^^] [ответить]	+1 +/–
ну почему же. всё зависит от твоей сноровки

1.21, mad_student (?), 15:59, 28/10/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Блин, а когда в сабже появится поддежка сжатых страниц? А то хабр скачать не получается.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: