Выпуск GNU Wget 1.16 с устранением критической уязвимости
27 октября 2014 года
После десяти месяцев разработки доступна новая версия программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP - GNU Wget 1.16.
Ключевые улучшения:
- Добавлена опция "--show-progress", принудительно включающая отображение строки с прогрессом выполнения операции. Изменен вывод по умолчанию строки, отображающей прогресс выполнения загрузки;
- Добавлена опция "--start-pos", позволяющая начать загрузку с явно указанной позиции;
- Добавлена опция "--no-config", при которой не выполняется обработка файла конфигурации (wgetrc);
- Отключено создание по умолчанию локальных символических ссылок (закрыта уязвимость CVE-2014-4877, позволявшая создавать символические ссылки для доступа к произвольным файлам при рекурсивной загрузке через FTP);
- Для проверки принадлежности cookie домену задействована библиотека
libpsl, предоставляющая список доменных имён, в которых могут быть зарегистрированы поддомены пользователей;
- Решены проблемы, проявляющиеся с ISA Server Proxy и с keep-alive соединениями.
Дополнение: уязвимость CVE-2014-4877 оказалась опаснее, чем предполагалось - при рекурсивной загрузке с FTP-сервера, подконтрольному атакующему, можно переписать любые файлы на локальной системе, насколько это позволяют права доступа пользователя, под которым запущен wget.
Источники править
- Главная ссылка к новости (http://permalink.gmane.org/gma...)(недоступная ссылка)
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
