Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Code-Ausführung durch wget-Lücke

04.11.2014

 zur Newsdatenbank home

Eine Sicherheitslücke wurde im Download-Tool wget gefunden, durch welche ein Angreifer auf das Dateisystem des Rechners schreiben und Code zur Ausführung bringen kann.

Nach derzeitigem Kenntnissstand ist ausschließlich der rekursive Modus (Option -m) von wget betroffen. Dieser wird für eine vollständige Kopie eines FTP- oder HTTP-Servers verwendet.

Wird wget für eine Kopie des Inhalts eines FTP-Servers benutzt (z.B. wget -m ftp://192.168.0.4:21), könnte, sofern es die Rechte des Nutzers erlauben, durch einen manipulierten Server ein Symlink auf das Root-Dateisystem angelegt und dort anschließend beliebig hineingeschrieben werden. So könnte vom Server ein Binary auf dem System platziert werden und anschließend sorgt ein Cron-Job dafür, dass dieses Binary ausgeführt wird. Die Lücke wurde von Rapid7 entdeckt.

Ob ein System anfällig ist, kann mit dem Metasploit-Modul überprüft werden. Die Schwachstelle wurde am 28. August von Rapid7 entdeckt; am selben Tag wurde wget's Maintainer informiert. Die abgesicherte Version 1.16 steht inzwischen zum Download bereit, alle älteren sind verwundbar.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89