1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. ファイル取得プログラム「Wget」に脆弱性が報じられる

ファイル取得プログラム「Wget」に脆弱性が報じられる

ファイル取得プログラム「Wget」に脆弱性が報じられるUNIXコマンドラインによりHTTPやFTP経由でファイルを取得するプログラムである「Wget」(または「GNU Wget」)に任意のローカルファイルを操作される脆弱性(「CVE-2014-4877」)が確認された。

脆弱性は、同プログラムのシンボリックリンクの取り扱いに問題があるというもの。脆弱性が悪用されると、FTPサーバーからの再帰的ダウンロード(要求されたHTMLドキュメントをWgetが最初にダウンロードし、その後にHTMLドキュメントがリンクしているドキュメントを、そして更に当該ドキュメントがリンクしているドキュメントというように階層ごとにダウンロードする機能)の際に、ローカル側に任意のファイルが作成されたり、ファイルが上書きされるおそれがある。

Wgetは、UNIX互換のソフトウェア環境を全てフリーソフトウェアで実装することを目標とする「GNU」プロジェクトにより作成されているフリーのプログラムだ。多くのUNIXユーザーに用いられており、主要なLinuxディストリビューション(一般利用者がLinuxをインストールし、利用できる形態にパッケージされたもの)とともに配布されている。

脆弱性への対策として、修正版のバージョン「1.16」が公開されている。このバージョンでは、初期状態でローカル側にシンボリックリンクを作成しないオプションが有効化されているという。対象のソフトを利用しているユーザーは、早急に修正版へ適用することが推奨される。

ニュース: GNU wget 1.16 released [Savannah](GNU Wget)
GNU Wget にシンボリックリンクの扱いに関する問題(JVNVU#98581917)

関連キーワード:
  • 金融庁がネットバンキング被害額を17億1,400万円(2014年上半期)と発表
  • カテゴリートップへ
  • IPAが「遠隔操作ソフト」の悪用による情報窃取に注意喚起
あなたへのオススメ
2015年5月14日
Apache Struts(アパッチ・ストラッツ)とは
2014年10月23日
Heartbleed(ハートブリード)とは
2015年6月 4日
水飲み場型攻撃とは
2015年10月28日
マルバタイジングとは
2013年12月 2日
SQLインジェクションとは