RHEL 6:wget (RHSA-2014:0151)

critical Nessus 插件 ID 72420

简介

远程 Red Hat 主机缺少 wget 安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0151 公告中提及的漏洞的影响。

wget 程序包为 HTTP、HTTPS 和 FTP 协议提供 GNU Wget 文件检索实用工具。Wget 提供了各种有用的功能,例如当用户注销时在后台工作的能力、目录的递归检索、文件名的通配符匹配,或者在文件时间戳比较的依存关系中更新文件。

已发现 wget 在保存已下载的文件时使用的是由服务器提供的文件名。这可造成 wget 创建名称与预期不同的文件,从而可能允许服务器在客户端上执行任意代码。 (CVE-2010-2252)

注意:通过此更新,wget 始终将原始 URL 的最后一个组件作为已下载文件的名称。通过使用“--trust-server-names”命令行选项或通过设置 wget 启动文件中的“trust_server_names=on”,可以重新启用之前在创建文件时使用服务器提供的名称或重定向的 URL 组件的行为.

此更新还修复以下缺陷:

* 在此更新之前,wget 程序包没有将指定备用名称 (subjectAltName) 的 HTTPS SSL 证书识别为有效证书。因此,运行 wget 命令失败,出现证书错误。此更新修复了 wget,将此类证书识别为有效。 (BZ#1060113)

建议所有 wget 用户升级此更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

请根据 RHSA-2014:0151 中的指南更新 RHEL wget 程序包。

另见

http://www.nessus.org/u?2e8e4725

https://access.redhat.com/errata/RHSA-2014:0151

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=602797

https://bugzilla.redhat.com/show_bug.cgi?id=833831

插件详情

严重性: Critical

ID: 72420

文件名: redhat-RHSA-2014-0151.nasl

版本: 1.15

类型: local

代理: unix

发布时间: 2014/2/11

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.3

Vendor

Vendor Severity: Low

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2010-2252

CVSS v3

风险因素: Critical

基本分数: 9.3

时间分数: 8.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:wget, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/2/10

漏洞发布日期: 2010/7/6

参考资料信息

CVE: CVE-2010-2252

RHSA: 2014:0151