Выпуск GNU Wget 1.16 с устранением критической уязвимости

После десяти месяцев разработки доступна новая версия программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP - GNU Wget 1.16.

Ключевые улучшения:

  • Добавлена опция "--show-progress", принудительно включающая отображение строки с прогрессом выполнения операции. Изменен вывод по умолчанию строки, отображающей прогресс выполнения загрузки;
  • Добавлена опция "--start-pos", позволяющая начать загрузку с явно указанной позиции;
  • Добавлена опция "--no-config", при которой не выполняется обработка файла конфигурации (wgetrc);
  • Отключено создание по умолчанию локальных символических ссылок (закрыта уязвимость CVE-2014-4877, позволявшая создавать символические ссылки для доступа к произвольным файлам при рекурсивной загрузке через FTP);
  • Для проверки принадлежности cookie домену задействована библиотека libpsl, предоставляющая список доменных имён, в которых могут быть зарегистрированы поддомены пользователей;
  • Решены проблемы, проявляющиеся с ISA Server Proxy и с keep-alive соединениями.

Дополнение: уязвимость CVE-2014-4877 оказалась опаснее, чем предполагалось - при рекурсивной загрузке с FTP-сервера, подконтрольному атакующему, можно переписать любые файлы на локальной системе, насколько это позволяют права доступа пользователя, под которым запущен wget.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=40942

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>