c.m.g
06-09-2010, 08:33
pubblicato: domenica 05 settembre 2010 da Silvio Gulizia
http://static.blogo.it/ossblog/wget.jpg
Secondo quanto riportato da Pc World (http://www.pcworld.com/businesscenter/article/204828/linux_distributions_update_for_web_flaw.html) non ancora tutte le distribuzioni linux sono corse ai ripari dopo l’annuncio della vulnerabiliy di Wget (http://www.gnu.org/software/wget/) che consentire di eseguire codice maligno in remoto.
Canonical e Mandriva hanno già rilasciato avvisi e patch, mentre Red Hat non l’avrebbe ancora fatto, secondo quanto riportato dal sito dell’azienda, racconta Pc World.
La vulnerabilità (http://www.openwall.com/lists/oss-security/2010/05/18/13) era stata riscontrata nella versione 1.12, ma era presente anche in quelle precedenti. Quando wget si collega a un sito per scaricare un file, il server che riceve la richiesta va alla ricerca del nome del file, che però può essere sostituito con un puntatore a un altro file che può contenere codice maligno.
A scoprire il buco erano stati i ragazzi di The OpenWall Project (http://www.openwall.com/), che si occupano di sicurezza dei software open source. La scoperta è di circa un anno fa, ma secondo The OpenWall Project i manutentori di Wget l’avrebbero inizialmente ignorata (http://www.ocert.org/advisories/ocert-2010-001.html). Attualmente la vulnerabilità è considerata di rischio medio (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2252).
Fonte: OssBlog (http://www.ossblog.it/post/6698/vulnerability-di-wget-fixata-da-canonical-e-mandriva-non-da-red-hat)
http://static.blogo.it/ossblog/wget.jpg
Secondo quanto riportato da Pc World (http://www.pcworld.com/businesscenter/article/204828/linux_distributions_update_for_web_flaw.html) non ancora tutte le distribuzioni linux sono corse ai ripari dopo l’annuncio della vulnerabiliy di Wget (http://www.gnu.org/software/wget/) che consentire di eseguire codice maligno in remoto.
Canonical e Mandriva hanno già rilasciato avvisi e patch, mentre Red Hat non l’avrebbe ancora fatto, secondo quanto riportato dal sito dell’azienda, racconta Pc World.
La vulnerabilità (http://www.openwall.com/lists/oss-security/2010/05/18/13) era stata riscontrata nella versione 1.12, ma era presente anche in quelle precedenti. Quando wget si collega a un sito per scaricare un file, il server che riceve la richiesta va alla ricerca del nome del file, che però può essere sostituito con un puntatore a un altro file che può contenere codice maligno.
A scoprire il buco erano stati i ragazzi di The OpenWall Project (http://www.openwall.com/), che si occupano di sicurezza dei software open source. La scoperta è di circa un anno fa, ma secondo The OpenWall Project i manutentori di Wget l’avrebbero inizialmente ignorata (http://www.ocert.org/advisories/ocert-2010-001.html). Attualmente la vulnerabilità è considerata di rischio medio (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2252).
Fonte: OssBlog (http://www.ossblog.it/post/6698/vulnerability-di-wget-fixata-da-canonical-e-mandriva-non-da-red-hat)