Wget以不安全方式创建文件竞争条件漏洞

漏洞信息详情

Wget以不安全方式创建文件竞争条件漏洞

• CNNVD编号：CNNVD-200412-668
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-2014
  
• 漏洞类型：
  
  
  竞争条件
  
• 发布时间：
  
  2004-05-17
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2010-04-02
  
• 厂        商：
  
  gnu
• 漏洞来源：
  Hugo “Vázquez” “Ca…

wget是一款多系统平台下的文件下载工具。
wget在文件下载过程中以不安全方式建立和写文件，本地攻击者可以利用这个漏洞以目标用户进程权限破坏系统文件。
wget会建立下载的文件是否同名，如果文件存在，就会以其他名字下载，问题是wget没有对文件进行加锁操作，就直接写入，因此存在符号连接攻击(只限于全局可写目录)，可以用户进程权限破坏系统文件，造成拒绝服务。

厂商补丁：
GNU
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.gnu.org” target=”_blank”>
http://www.gnu.org

来源: XF
名称: wget-lock-race-condition(16167)
链接:http://xforce.iss.net/xforce/xfdb/16167

来源: BID
名称: 10361
链接:http://www.securityfocus.com/bid/10361

来源: OVAL
名称: oval:org.mitre.oval:def:9830
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:9830

来源: MLIST
名称: [wget] 20040517 Re: Wget race condition vulnerability (fwd)
链接:http://marc.theaimsgroup.com/?l=wget&m=108483270227139&w=2

来源: MLIST
名称: [wget] 20040517 Wget race condition vulnerability (fwd)
链接:http://marc.theaimsgroup.com/?l=wget&m=108482747906833&w=2

来源: BUGTRAQ
名称: 20040516 Wget race condition vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108481268725276&w=2

来源: UBUNTU
名称: USN-145-1
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-145-1

来源: REDHAT
名称: RHSA-2005:771
链接:http://www.redhat.com/support/errata/RHSA-2005-771.html

来源: MANDRIVA
名称: MDKSA-2005:204
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:204

来源: SECUNIA
名称: 17399
链接:http://secunia.com/advisories/17399

来源：NSFOCUS
名称：6460
链接：http://www.nsfocus.net/vulndb/6460