Risque
- Contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
- wget versions antérieures à la version 1.12 ;
- Solaris 9 sur SPARC avec le patch 125326-01 ;
- Solaris 10 sur SPARC sans le patch 125215-03 ;
- OpenSolaris sur SPARC de svn_01 à svn _125 ;
- Solaris 9 sur x86 avec le patch 125327-01 ;
- Solaris 10 sur x86 sans le patch 125216-03 ;
- OpenSolaris sur x86 de svn_01 à svn_125.
Résumé
Une vulnérabilité permettant de contourner la politique de sécurité a été découverte dans wget.
Description
Une vulnérabilité a été découverte dans wget. Cette vulnérabilité est due à une mauvaise interprétation de certains caractères dans un certificat SSL. L'exploitation de cette vulnérabilité permet à un utilisateur malintentionné de contournée la politique de confidentialité induite par l'utilisation de SSL.
Note : certains logiciels, en particulier certains gestionnaires de téléchargement, peuvent se servir d'une version non corrigée de wget.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- notes de changements de wget du 27 août 2009 :
http://hg.addictivecode.org/wget/mainline/rev/1eab157d3be7
- Bulletin de sécurité Debian DSA-1904 du 09 octobre 2009 :
http://www.debian.org/security/2009/dsa-1904
- Bulletin de sécurité Ubuntu USN-842 du 06 octobre 2009 :
http://www.ubuntu.com/usn/USN-842-1
- Référence CVE CVE-2009-3490 :
https://www.cve.org/CVERecord?id=CVE-2009-3490
- Bulletin de sécurité Sun 1-66-273590-1 du 2 décembre 2009 :
http://sunsolve.sun.com/search/document.do?assetkey=1-66-273590-1
