Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng nghiêm trọng trên Wget
Ứng dụng mã nguồn mở Wget được sử dụng rộng rãi trên các hệ điều hành Linux và Unix để tải file trên website vừa bị phát hiện tồn tại một lỗ hổng nghiêm trọng (CVE-2014-4877).
GNU Wget là dòng lệnh được thiết kế để tải file từ các website sử dụng HTTP, HTTPS, và FTP, các giao thức Internet được sử dụng rộng rãi nhất. Wget có thể dễ dàng cài đặt trên hệ thống tương tự Unix, và được chuyển tới nhiều môi trường bao gồm Microsoft Windows, Mac OS X, OpenVMS, MorphOS và AmigaOS.
Khi sử dụng phiên bản Wget có lỗ hổng, máy tính nạn nhân được kết nối với server FTP có chứa mã độc, do đó kẻ xấu có thể thực hiện bất kỳ hoạt động nào theo ý muốn. Wget có thể tải, tạo ra các file và ghi đè lên các tập tin đã có sẵn trong ngữ cảnh người dùng đang sử dụng Wget.
CVE-2014-4877 lần đầu tiên được nhân viên nghiên cứu của Rapid7 báo với dự án GNU Wget. Lỗ hổng này nghiêm trọng bởi Wget được sử dụng trong hầu hết các server Linux trên thế giới và cài đặt (mặc dù không mặc định) trên các máy OS X.
Hiện lỗ hổng này hiện đã vá trong phiên bản Wget 1.16. Người dùng Wget nên cập nhật lên bản 1.16 để được an toàn.
Bkav sẽ tiếp tục cập nhật về lỗ hổng này.
GNU Wget là dòng lệnh được thiết kế để tải file từ các website sử dụng HTTP, HTTPS, và FTP, các giao thức Internet được sử dụng rộng rãi nhất. Wget có thể dễ dàng cài đặt trên hệ thống tương tự Unix, và được chuyển tới nhiều môi trường bao gồm Microsoft Windows, Mac OS X, OpenVMS, MorphOS và AmigaOS.
Khi sử dụng phiên bản Wget có lỗ hổng, máy tính nạn nhân được kết nối với server FTP có chứa mã độc, do đó kẻ xấu có thể thực hiện bất kỳ hoạt động nào theo ý muốn. Wget có thể tải, tạo ra các file và ghi đè lên các tập tin đã có sẵn trong ngữ cảnh người dùng đang sử dụng Wget.
CVE-2014-4877 lần đầu tiên được nhân viên nghiên cứu của Rapid7 báo với dự án GNU Wget. Lỗ hổng này nghiêm trọng bởi Wget được sử dụng trong hầu hết các server Linux trên thế giới và cài đặt (mặc dù không mặc định) trên các máy OS X.
Hiện lỗ hổng này hiện đã vá trong phiên bản Wget 1.16. Người dùng Wget nên cập nhật lên bản 1.16 để được an toàn.
Bkav sẽ tiếp tục cập nhật về lỗ hổng này.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: