S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 juin 2005
N° CERTA-2005-AVI-207
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de GNU wget

Gestion du document

Référence CERTA-2005-AVI-207
Titre Vulnérabilité de GNU wget
Date de la première version13 juin 2005
Date de la dernière version29 septembre 2005
Source(s) Bulletin de sécurité Mandriva MDKSA-2005:098 du 09 juin 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Corruption de données
  • Exécution de code arbitraire

Systèmes affectés

Toutes les versions de GNU wget des branches 1.8 et 1.9.

Résumé

Deux vulnérabilités dans GNU wget permettent à un utilisateur mal intentionné de corrompre des données ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Description

Wget est un logiciel très utilisé pour automatiser le téléchargement de fichiers distants via les protocoles HTTP et FTP.
Lors du traitement de redirection HTTP, wget effectue une mauvaise vérification de l'URL. Il est ainsi possible, pour un administrateur mal intentionné, de créer un site HTTP malicieux, permettant de porter atteinte à l'intégrité des données ou d'exécuter du code arbitraire sur la plate-forme vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 juin 2005
    version initiale.
    le 29 septembre 2005
    Bulletin Red Hat.