کشف آسیب‌پذیری در پکیج wget لینوکس

توسعه‌دهندگانی که پکیج wget گنو را در برنامه‌های خود دارند، باید از نسخه جدیدی که در Boxing Day منتشر شده است استفاده کنند!

توسعه‌دهندگانی که پکیج wget گنو را در برنامه‌های خود دارند، باید از نسخه جدیدی که در Boxing Day منتشر شده است استفاده کنند!
GNU Wget یک پکیج نرم‌افزاری رایگان برای بازیابی فایل‌ها با استفاده از رایج‌ترین پروتکل‌های اینترنت مانند HTTP، HTTPS، FTP و FTPS می‌باشد. ابزار مذکور یک ابزار خط فرمان غیرتعاملی است، بنابراین می‌تواند به راحتی توسط اسکریپت‌ها، کرون جاب‌ها، ترمینال‌های بدون پشتیبانی X-Windows و غیره فراخوانی گردد. GNU Wget دارای امکانات فراوانی برای بازیابی آسان فایل‌های بزرگ و یا ایجاد mirror برای وب‌سایت‌ها یا FTP می‌باشد.
آسیب‌پذیری یافت شده با شناسه CVE-2018-20483، به کاربران محلی اجازه می‌دهد با خواندن attributeها، اطلاعات حساسی مانند اطلاعات محرمانه موجود در URL را به دست آورند.
یک محقق امنیتی به نام Gynvael Coldwind، دریافت که attributeهای ذخیره شده می‌توانند حاوی نام کاربری و رمز عبور کاربر باشند.
محقق امنیتی دیگری به نام Hanno Böck، تأکید نمود که URLها گاهی می‎‌توانند حاوی “secret tokens” برای سرویس‌های خارجی مانند میزبانی فایل باشند و با استفاده از دستور getfattr تمام attributeهای موجود در هر دستگاه لاگین شده‌ای می‌تواند قابل دسترسی باشد.
Böck نوشت: "در سیستم‌هایی که attributeهای توسعه یافته یونیکس را پشتیبانی می‌کنند URL مربوط به دانلودها ازطریق attributeهای فایل سیستم ذخیره می‌گردند."
شما می‌توانید با اجرای دستور زیر این attributeها را بر روی سیستم لینوکسی خود مشاهده فرمایید:
getfattr -d [filename] ‪(The download URL is stored in a variable “user.xdg.origin.url”)‬”
این موضوع به صورت محرمانه و خصوصی به کروم گزارش شده و امید است که به زودی مرتفع گردد.
به گفته تیم توسعه‌دهنده Wget ، با استفاده از xattrs این قابلیت به طور پیش‌فرض از نسخه ۱.۲۰.۱ متوقف شده است.

منبع خبر: https://securityaffairs.co/wordpress/79413/security/wget-flaw.html