wget-1.12-1.11.AXS4
エラータID: AXSA:2014-010:01
リリース日:
2014/03/12 Wednesday - 19:06
題名:
wget-1.12-1.11.AXS4
影響のあるチャネル:
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- wget はダウンロードの目的のファイル名を決定するために,本来の URL の代わりにサーバの提供するファイル名を使用し,.wgetrc ファイル名を持つ URL への 3xx リダイレクトによって,リモートのサーバが任意のファイルを作成する,あるいは上書きすることができる脆弱性があります。 (CVE-2010-2252)
注:この修正で,wget はダウンロードファイルの名前として本来の URL の最後のコンポーネントを使用します。以前のサーバが提供した名前を使用する,あるいはリダイレクトされた URL の最後のコンポーネントを使用する挙動は '--trust-server-names' コマンドラインオプションを使用するか,wget のス
タートアップファイルに 'trust_server_names=on' を設定することで使用することができます。
[Bug Fix]
- wget パッケージが妥当なものとして証明書で指定される代替名 (subjectAltName) を持つ HTTPS SSL 証明書を認識せず,wget コマンドが証明書エラーで失敗する問題を修正しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2010-2252
GNU Wget 1.12 and earlier uses a server-provided filename instead of the original URL to determine the destination filename of a download, which allows remote servers to create or overwrite arbitrary files via a 3xx redirect to a URL with a .wgetrc filename followed by a 3xx redirect to a URL with a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.
GNU Wget 1.12 and earlier uses a server-provided filename instead of the original URL to determine the destination filename of a download, which allows remote servers to create or overwrite arbitrary files via a 3xx redirect to a URL with a .wgetrc filename followed by a 3xx redirect to a URL with a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.
追加情報:
N/A
ダウンロード:
SRPMS
- wget-1.12-1.11.AXS4.src.rpm
MD5: 41cc5a9fb78df7356690e06504c35013
SHA-256: 974a20dccb49de76d20089449864bca4460087ac0c97e8e127ae6aae825a0b19
Size: 1.56 MB
Asianux Server 4 for x86
- wget-1.12-1.11.AXS4.i686.rpm
MD5: 2e67b72860e36ac373ff5c7d783e38ae
SHA-256: 2002f9ce4ca540c1da5f765ff34d667a49ef39356261a6a3ab1616b633b17622
Size: 485.60 kB
Asianux Server 4 for x86_64
- wget-1.12-1.11.AXS4.x86_64.rpm
MD5: f337db17f79dcf5195218631d4b7e27d
SHA-256: d464123a341fc9ed841c786372c9257dba9464937404ff33dc2ee142dc87f99a
Size: 486.39 kB