TR-14-009 (GNU WGET Güvenlik Açığı)

Genel Bilgi

HTTP, HTTPS ve FTP protokollerini kullanarak dosya indirilmesine imkan sağlayan ücretsiz bir yazılım olan GNU Wget'in yinelenen(recursive) FTP indirme işlemlerinde dosya sistemlerine rastgele erişimlere izin verdiği ortaya çıktı. Wget yazılımı, hedefin bir FTP sunucusu olduğu durumlarda, tekrarlamalı (recursive) modunda çalıştırıldığında link takibi şeklinde yapılan siber saldırılara savunmasız halde bulunmaktadır. Dizin listesinde sembolik linkler oluşturmak üzere ayarlanmış kötü amaçlı bir FTP sunucusu, Wget kullanıcısını belirli bir yerel sembolik linke yönlendirerek yerel dosya sisteminin siber saldırganlar tarafından öğrenilmesini sağlayabilmektedir. Bu durumda Wget uzaktan edinilen dosyaların indirilmesine veya bu dosyaların yerel sembolik linkteki dosyaların üzerine yazılmasına izin vermektedir.

Etki

Kötü amaçlı bir FTP sunucusunun, Wget aracılığıyla sisteme bağlantı sağlayarak rastgele dosya oluşturması veya mevcut dosyaları değiştirmesi ihtimal dâhilindedir.

Çözüm

Konu ile ilgili olarak GNU tarafından bir güvenlik güncellemesi yayınlanmış olup kullanıcıların sistemlerinde gerekli güncellemeleri yapmaları önem arz etmektedir. Buna ilave olarak Wget’in 1.15 ve daha eski sürümlerini kullanan kullanıcıların /etc/wgetrc veya ~/.wgetrc’de retr-symlinks=on ayarını yapması veya wget komut satırı ayarlarında --retr-symlinks ifadesine yer vermesi tavsiye edilmektedir.

Kaynaklar

• http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

• http://cwe.mitre.org/data/definitions/59.html

• https://bugzilla.redhat.com/show_bug.cgi?id=1139181

• https://community.rapid7.com/community/metasploit/blog/2014/10/28/r7-2014-15-gnu-wget-ftp-symlink-arbitrary-filesystem-access

• http://www.gnu.org/software/wget/manual/wget.html#index-symbolic-links_002c-retrieving

• http://gnu.huihoo.org/wget-1.8.1/html_node/wget_10.html

• http://comments.gmane.org/gmane.comp.web.wget.general/10367

• http://www.kb.cert.org/vuls/id/685996

Kamuoyuna Saygıyla Duyurulur!...

2014-12-17