Risques

  • Corruption de données
  • Exécution de code arbitraire

Systèmes affectés

Toutes les versions de GNU wget des branches 1.8 et 1.9.

Résumé

Deux vulnérabilités dans GNU wget permettent à un utilisateur mal intentionné de corrompre des données ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Description

Wget est un logiciel très utilisé pour automatiser le téléchargement de fichiers distants via les protocoles HTTP et FTP.
Lors du traitement de redirection HTTP, wget effectue une mauvaise vérification de l'URL. Il est ainsi possible, pour un administrateur mal intentionné, de créer un site HTTP malicieux, permettant de porter atteinte à l'intégrité des données ou d'exécuter du code arbitraire sur la plate-forme vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation