JVNDB-2014-005133

GNU Wget にシンボリックリンクの扱いに関する問題

GNU Wget には、FTP の再帰的ダウンロード時におけるシンボリックリンクの扱いに問題があり、GNU Wget の実行権限の範囲内でローカルファイルシステム上の任意のファイルを操作される可能性があります。

リンク解釈の問題 (CWE-59)
GNU Wget は、サーバからファイルを取得するためのユーティリティです。GNU Wget で FTP サーバから再帰的にファイルをダウンロードする際、サーバから取得するディレクトリ一覧のなかに細工されたシンボリックリンクが仕込まれていると、Wget がローカルファイルシステム側の任意のファイルを作成したり上書きしたりする可能性があります。

CWE-59: Improper Link Resolution Before File Access ('Link Following')
https://cwe.mitre.org/data/definitions/59.html

GNU Project

• GNU Wget

オラクル

• Oracle Solaris 10
• Oracle Solaris 11.2

遠隔の FTP サーバから再帰的にファイルをダウンロードする際、GNU Wget を使用しているユーザの権限で任意のファイルを作成されたり、任意のファイルを上書きされたりする可能性があります。

[アップデートする]
GNU Wget では、本問題の対策としてバージョン 1.16 をリリースしています。
このバージョンでは、サーバから取得したファイル一覧情報の検査が追加されています。
また、初期状態で retr-symlinks オプションを有効にしており、FTP サーバからの再帰的ダウンロード時に、サーバ側のシンボリックリンクに対応してローカル側にシンボリックリンクを作成しなくなります。

[ワークアラウンドを実施する]
retr-symlinks オプションを設定することで、FTP サーバからの再帰的ダウンロード時に、サーバ側のシンボリックリンクに対応してローカル側にシンボリックリンクを作成しなくなります。

GNU Project

• GitHub : Add checks for valid listing file in FTP
• GitHub : Prepare new release 1.16
• GitHub : CVE-2014-4877: Arbitrary Symlink Access
• GNU Wget : GNU wget 1.16 released

オラクル

• Oracle Technology Network : Oracle Third Party Bulletin - January 2015

レッドハット

• Red Hat Bugzilla : Bug 1139181
• Red Hat Security Advisory : RHSA-2014:1764
• Red Hat Security Advisory : RHSA-2014:1955

1. リンク解釈の問題(CWE-59) [IPA評価]
2. パス・トラバーサル(CWE-22) [NVD評価]

1. CVE-2014-4877

1. JVN : JVNVU#98581917
2. National Vulnerability Database (NVD) : CVE-2014-4877
3. US-CERT Vulnerability Note : VU#685996
4. 関連文書 : Rapid7 - R7-2014-15 GNU Wget FTP Symlink Arbitrary Filesystem Access

• [2014年10月30日]
    掲載
  [2014年11月20日]
    ベンダ情報：レッドハット (RHSA-2014:1764) を追加
  [2014年12月17日]
    ベンダ情報：レッドハット (RHSA-2014:1955) を追加
  [2015年01月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加