LINUX.ORG.RU

Уязвимость в логике обработки симлинков в GNU Wget

 ,


3

3

GNU Wget — это утилита командной строки, разработанная для скачивания файлов по протоколам HTTP, HTTPS и FTP. Версии Wget до 1.16 имеют уязвимость в обработке symlink`ов (CVE-2014-4877) при работе в рекурсивном режиме с FTP. Уязвимость позволяет злоумышленнику, управляющему FTP сервером, создавать произвольные файлы и папки в файловой системе пользователя. Атака позволяет злоумышленнику перезаписать или создать любой файл, в том числе бинарный, в файловой системе пользователя, который запускает wget. Т.е. можно произвести атаку, выполняющую произвольный код на целевой системе, путем запуска cron, записи в bash_profile или изменения SSH authorized_keys.

>>> Подробности

Ответ на: комментарий от Reset

Кстати, а какие пакетные и не очень менеджеры сейчас не используют wget? Раньше помню его и сузя в ясте юзала, и мандрива пока жива была, и шапка, и гента. Им же большая часть самообновляемых домороутеров типа длинков/высусов прошивки качали новые. А сейчас как не в курсе?

upcFrost ★★★★★ ()
Ответ на: комментарий от tailgunner

Ухудшения памяти, речевых и моторных навыков тоже пока не чувствуешь?

Ты переоцениваешь влияние своей тоскливости на человеческую физиологию.

ptarh ★★★★★ ()
Ответ на: комментарий от Reset

Про ftp я понял. Вопрос был в том, угрожает ли мне что-то, если я себе вгетом ничего не качаю. Судя по всему - нет. Спасибо.

Ghostwolf ★★★★ ()
Ответ на: комментарий от ptarh

Ухудшения памяти, речевых и моторных навыков тоже пока не чувствуешь?

Ты переоцениваешь влияние своей тоскливости на человеческую физиологию.

Не переоцениваю. Естественно, на твою физиологию влияют многие факторы... значит, не замечаешь ухудшения памяти пока? Судя по этому треду, скоро заметишь.

tailgunner ★★★★★ ()
Ответ на: комментарий от Ghostwolf

Не угрожает. wget вообще лучше удалить и забыть про него как про страшный сон. Есть более вменяемые качальщики, например, curl.

Reset ★★★★★ ()
Ответ на: комментарий от tailgunner

Спешите видеть: погромисты физиологов физиологии учат.

ptarh ★★★★★ ()

решето

Не, ну я понимаю популярность этого тега в толксах и пр., но для новости оно... как-то...

hobbit ★★★★★ ()
Ответ на: комментарий от anonymous

Настолько, насколько опасна атака, выполняющая произвольный код.

Я думаю вот как можно эксплуатировать эту уязвимость. Написать какую нибудь программу, например безопасную версию wget или какой нибудь плагин, главное что бы выполнили однострочник с wget. Разместить его исходники на специальном FTP (эксплуатирующим уязвимость). Опубликовать данные о своей разработке на форумах разных дистрибутивов. Ментайнеры скачивают исходники, тыкают их, не важно что они делают. Главное что через уязвимость на компьютер ментанера записывается cron скрипт который отсылает каталог ~/.ssh и историю bash на сервер (так же можно устроить обыск домашнего каталога на наличие других ключей, в том числе для электронной подписи) . После скрипт самоустраняется. Таким образом в течении нескольких дней ты получишь приватные RSA-ключи множества ментайнеров различных дистрибутивов. Далее можно попытаться внести дыры в какие нибудь пакеты и через примерно 2 года можно будет стать крутым хакером с крякером интернета.

rezedent12 ☆☆☆ ()
Ответ на: Re: ШЕРЕТО от anonymous

2014 год — год решета.

Объявлен год шерета. Количество найденных уязвимостей увеличилось вдвое (а вдвое ли? Heartbleed чего один стоит)

leg0las ★★★★★ ()

Оффтоп.

Кстати, я вдруг обратил внимание, а куда делся тот альтернативно одаренный, который некоторое время назад надрачивал себе звездочки и метил в модераторы, постя в новостях минорщину и всякий шлак на ЛОР чуть ли не по пачке в день? Даже ник его уже не помню) Все, сдулся что ли?))

Indexator ★★★ ()

wget -r на фтп где-то используется?
Можно-ли детектить wget по UA и перекидывать его на фтп? Качать сайтики рекурсивно очень даже любят.

KillTheCat ★★★★★ ()
Ответ на: комментарий от rezedent12

Уже не сработает - все знают про уязвимость, да и ментейнеры спалят это дело.

Не лучше ли самому стать ментейнером и через 2 года заразить все дистрибутивы убунты\дебиана\арча? Или это очень сложно?

KillTheCat ★★★★★ ()

. Уязвимость позволяет злоумышленнику, управляющему FTP сервером создавать произвольные файлы и папки в файловой системе пользователя. Атака позволяет злоумышленнику перезаписать или создать любой файл, в том числе бинарный в файловой системе пользователя который запускает wget. Т.е. можно произвести атаку, выполняющую произвольный код на целевой системе, путем запуска cron, записи в bash_profile или изменения SSH authorized_keys.

То есть, если не качать с левых ftp, то все нормально?

Deleted ()
Ответ на: комментарий от Deleted

если не качать с левых ftp

...и обезопаситься от MITM различного рода (в т. ч. dns spoofing).

intelfx ★★★★★ ()
Ответ на: 2014 год — год решета. от leg0las

Объявлен год шерета. Количество найденных уязвимостей увеличилось вдвое (а вдвое ли? Heartbleed чего один стоит)

Для крикунов.

И даже если заплат вовремя не будет, то можно:

1. dev-libs/openssl -tls-heartbeat

2. USE="-gnutls"

3. emerge -C bash && emerge zsh

4. Wget: https://www.linux.org.ru/news/security/11001536?cid=11003716
Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от upcFrost

Gentoo portage

/usr/share/portage/config/make.globals

# Fetching command (3 tries, passive ftp for firewall compatibility) FETCHCOMMAND=«wget -t 3 -T 60 --passive-ftp -O \»\${DISTDIR}/\${FILE}\" \«\${URI}\»" RESUMECOMMAND=«wget -c -t 3 -T 60 --passive-ftp -O \»\${DISTDIR}/\${FILE}\" \«\${URI}\»"

Но флаг -P запрещен для wget

anonymous ()
Ответ на: комментарий от Alsvartr

Бинарники ставятся от рута, через пакетный менеджер. Откуда там троян? Троят может попасть только будучи скачанным пользователем, т.е. с правами пользователя. Следовательно, он попадёт в хомяк и затронет максимум его же (ну или процессов насоздаёт, опять же от пользователя и до первой перезагрузки).

vurdalak ★★★★★ ()
Ответ на: комментарий от vurdalak

мало что ли дыр для повышения привиллегий? Нет, по уму надо проверять каждую чексумму перед запуском (чексуммы хранить исключительно в тетради - чтобы вирус их не заменил), потом запускать все бинарники исключительно по абсолютному пути (ну и провести аудит всего софта, чтобы он так же их запускал). А то у тебя полумеры какие-то.

Alsvartr ★★★★★ ()
Ответ на: комментарий от Alsvartr

мало что ли дыр для повышения привиллегий?

А ты попробуй сделать троян под конкретную версию софта, в котором дыра, да ещё чтобы я его установил до того, как накачу фикс.

Нет, по уму надо проверять каждую чексумму перед запуском (чексуммы хранить исключительно в тетради - чтобы вирус их не заменил), потом запускать все бинарники исключительно по абсолютному пути (ну и провести аудит всего софта, чтобы он так же их запускал).

Не поможет. Если у бинарника есть доступ к руту, то уже не имеет значения, что и как ты запускаешь. Как только он повысил привилегии, система уже заражена и должна быть восстановлена из бэкапов с нуля. Мои полумеры защищают систему от повышения трояном привлегий без использования дыр в софте, и только.

vurdalak ★★★★★ ()
Ответ на: комментарий от yoghurt

Теперь Касперыч должен выпустить антивирус Интернета

и сканировать интернетовые ftp на уязвимости wget. В wget надо встроить подключение к бд касперыча и проверять сайт на надежность. А то появится еще одна уязвимость - и касперыч тут как тут. Пока вы там баго пофиксите, а касперыч вас уже защитит. Касперыч и опенсорч - мир - дружба.

Xintrea ★★★★★ ()
Ответ на: комментарий от like-all

sudo с NOPASSWD

это решето само по себе. только /bin/su -, только хардкор

Stil ★★★★★ ()
Ответ на: комментарий от Ghostwolf

Не так. «Вот лажу я по инету и качаю вгетом, как меня могут атаковать в таком случае?» - это вопрос.

anonymous ()
Ответ на: комментарий от KillTheCat

Не лучше ли самому стать ментейнером и через 2 года заразить все дистрибутивы убунты\дебиана\арча? Или это очень сложно?

Не знаю как в Debian, но помню что в ALT Linux team требуется ксерокопия паспорта, а ключ для доступа передаётся при личной встрече с другим ментайнером.

rezedent12 ☆☆☆ ()
Ответ на: комментарий от anonymous

Да гента понятно что качает всем чем только может, и wget в первых рядах

upcFrost ★★★★★ ()

Во многих древних программах была подобная уязвимость. Давно ждал, когда ее найдут в wget.

На очереди rtorrent. Предчувствую, что он очень уязвим.

trupanka ()
Ответ на: комментарий от Ghostwolf

Сложно сделать такую атаку целенаправленной, или я ошибаюсь? Вот висит у меня вебсервер, вгетом на него ничего не качаю, как меня могут атаковать в таком случае? Этот аспект интересует.

mitm. целенаправленно такую атаку провести гораздо проще и намного результативнее, чем просто фишить имхо. так что если в вашей компании есть ценные данные — берегитесь. достаточно хотя бы приблизительно знать чем пользуется пользователь.

val-amart ★★★★★ ()

Есть предположение, что похожая проблема может быть (или уже была) в пакете SAMBA при включенных unix extensions и/или игранием с follow symlinks.

Infra_HDC ★★★★★ ()
Ответ на: комментарий от snaf

ну портаж wget'ом по-дефолту пользуется, а не curl'ом или axel'ем.

FETCHCOMMAND/RESUMECOMMAND в make.conf настраивается.

vim ()
Ответ на: комментарий от vim

если менеджер пакетов твоего дистрибутива скачивает пакеты/исходники ?

1. Он делает это wget-ом ?
2. Он делает это рекурсивно, или таки попакетно ?

AS ★★★★★ ()
Ответ на: комментарий от like-all
silver-orchid-laptop:~ # rpm -qa|grep sudo
texlive-sudokubundle-doc-2013.72.1.0asvn15878-11.2.1.noarch
texlive-sudoku-2013.72.1.0svn15878-11.2.1.noarch
texlive-sudokubundle-2013.72.1.0asvn15878-11.2.1.noarch
texlive-sudoku-doc-2013.72.1.0svn15878-11.2.1.noarch
silver-orchid-laptop:~ #

sudo не нужен.

По теме: это всё печально, да, но, скорее всего, в основных дистрибутивах сегодня-завтра уже будет фикс

FairyOstroGrad ()
Ответ на: комментарий от Deathstalker

Это АНБ старые многолетние уязвимости сливает ненужные...

anonymous ()

Кто-то ещё пользуется FTP?

Wizard_ ★★★★★ ()
Ответ на: комментарий от vim

В этом случае проще прямо в сорцы добавить нужные уязвимости.

anonymous ()

ШОК!

Штульман остался без / и веб-браузера! Фото! 28x

soslow ()
Ответ на: комментарий от maloi

Кстати, о птичках... Щас попытался обновить список пакетов на одной убунте и мне выдало следующее:

[13:06:04] Reading package lists...
[13:06:13] E: Malformed Description-md5 line; includes invalid character '8116cc2d146631cf9338359e43d388`e'
[13:06:13] E: The package lists or status file could not be parsed or opened.

Хм, что бы это могло быть? Доктор, за мной следит ктобывыдумалИиии? кровавая гэбня?

Indexator ★★★ ()
Ответ на: комментарий от vim

Зависит от включения/отключения фичи userfetch в make.conf

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.