wget-1.12-1.11.AXS4

エラータID: AXSA:2014-010:01

リリース日: 
2014/03/12 Wednesday - 19:06
題名: 
wget-1.12-1.11.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- wget はダウンロードの目的のファイル名を決定するために,本来の URL の代わりにサーバの提供するファイル名を使用し,.wgetrc ファイル名を持つ URL への 3xx リダイレクトによって,リモートのサーバが任意のファイルを作成する,あるいは上書きすることができる脆弱性があります。 (CVE-2010-2252)

注:この修正で,wget はダウンロードファイルの名前として本来の URL の最後のコンポーネントを使用します。以前のサーバが提供した名前を使用する,あるいはリダイレクトされた URL の最後のコンポーネントを使用する挙動は '--trust-server-names' コマンドラインオプションを使用するか,wget のス
タートアップファイルに 'trust_server_names=on' を設定することで使用することができます。

[Bug Fix]
- wget パッケージが妥当なものとして証明書で指定される代替名 (subjectAltName) を持つ HTTPS SSL 証明書を認識せず,wget コマンドが証明書エラーで失敗する問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2010-2252
GNU Wget 1.12 and earlier uses a server-provided filename instead of the original URL to determine the destination filename of a download, which allows remote servers to create or overwrite arbitrary files via a 3xx redirect to a URL with a .wgetrc filename followed by a 3xx redirect to a URL with a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. wget-1.12-1.11.AXS4.src.rpm
    MD5: 41cc5a9fb78df7356690e06504c35013
    SHA-256: 974a20dccb49de76d20089449864bca4460087ac0c97e8e127ae6aae825a0b19
    Size: 1.56 MB

Asianux Server 4 for x86
  1. wget-1.12-1.11.AXS4.i686.rpm
    MD5: 2e67b72860e36ac373ff5c7d783e38ae
    SHA-256: 2002f9ce4ca540c1da5f765ff34d667a49ef39356261a6a3ab1616b633b17622
    Size: 485.60 kB

Asianux Server 4 for x86_64
  1. wget-1.12-1.11.AXS4.x86_64.rpm
    MD5: f337db17f79dcf5195218631d4b7e27d
    SHA-256: d464123a341fc9ed841c786372c9257dba9464937404ff33dc2ee142dc87f99a
    Size: 486.39 kB