Wget CVE-2014-4877:FTP 符号链接任意文件系统访问

最新推荐文章于 2022-11-12 22:28:35 发布
最新推荐文章于 2022-11-12 22:28:35 发布
阅读量260 收藏
点赞数
文章标签: git
原文链接:https://yq.aliyun.com/articles/110924
版权

Wget 爆出 CVE-2014-4877 漏洞:FTP 符号链接任意文件系统访问。

Package: wget
Version: 1.15-1
Severity: important

Upstream fix:

http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

References:https://bugzilla.redhat.com/show_bug.cgi?id=1139181
=======
Wget 受到了符号链接攻击,可以创建任意文件,目录或者符号链接,并且可以通过 FTP 递归的设置访问权限。这个 commit 修改是 Wget 默认设置的,Wget 不再创建本地符号链接,不再遍历他们,而是检索指向的文件。旧的行为可以通过 Wget invokation 命令的 --retr-symlinks=no 选项来获取。
=======

文章转载自 开源中国社区 [http://www.oschina.net]
weixin_33730836
关注
常见的系统漏洞
qq_40907977的博客
02-08 4774
未完待续 1、Linux软件漏洞 2、Windows系统漏洞 3、Web-CMS漏洞 4、应用漏洞 应用漏洞 勒索软件、挖矿病毒和网站后门等威胁会利用包括Apache、Redis、Docker、ElasticSearch等应用漏洞入侵主机,对应用层的漏洞进行定期、及时的检测加固可以有效对这些威胁攻击进行防御,建议您升级到企业版来取得包括应用漏洞检测在内的所有高级功能。 5、应急漏洞 比如 :mon...
Centos8(Liunx) 中安装PHP7.4 的三种方法和删除它的三种方法
ld17822307870的博客
01-20 743
编译安装 Centos8下PHP源码编译和通过yum安装的区别和以后的选择 其实这两种方法各有千秋: yum安装: 从yum安装来说吧,yum相当于是自动化帮你安装,你不用管软件的依赖关系,在yum安装过程是帮你把软件的全部依赖关系帮你傻瓜式的解决了。而且现在Centos7的服务启动已经换成systemctl命令来控制了。通过yum安装会帮你自动注册服务,你可以通过systemctl start xxx.service启动服务,方便快捷。但是缺点是yum安装你没办法干预,安装的目录也是分散的。你可能
ftp连接软件
03-05
这个ftp连接软件亲测能用,不用注册,解压即可!希望能够帮助需要的人。
网络工具wget被发现存在安全漏洞(CVE-2014-4877
收集盒 Book box
11-29 995
#漏洞预警# 流行网络工具wget被发现存在安全漏洞(CVE-2014-4877)。    当wget在用于递归下载FTP站点时,攻击者可通过构造恶意的符号链接文件触发该漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。请广大用户留意各自所使用版本的更新情况,及时安装补丁/升级。      MITRE CVE 词典对这个问题解释如下:** RESERVED **
CVE-2014-4877 && wget: FTP Symlink Arbitrary Filesystem Access
weixin_30954265的博客
11-16 289
目录 1. 漏洞基本描述 2. 漏洞带来的影响 3. 漏洞攻击场景重现 4. 漏洞的利用场景 5. 漏洞原理分析 6. 漏洞修复方案 7. 攻防思考 1. 漏洞基本描述 0x1: Wget简介 wget是一个从网络上自动下载文件的自由工具,支持通过HTTP、HTTPS、FTP三个最常见的TCP/IP协议下载,并可以使用HTTP代理。wget名称的由来是"World...
linux反弹shell 漏洞,利用wget漏洞(CVE-2014-4877)反弹shell
weixin_32306885的博客
05-17 659
28日,linux操作系统的wget被发现安全漏洞,当用户通过wget命令递归下载文件时,攻击者可通过构造恶意的符号链接文件触发该漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。攻防实验室的小伙伴们在当天就对漏洞进行了分析验证。不久后国外的安全研究者已经能通过此漏洞反弹交互式的shell,利用的是linux的计划任务。Metasploit也更新了相应的模块,下面我们一起...
wget漏洞修复
波子汽水
07-12 3700
GNU Wget安全漏洞(CVE-2016-4971)漏洞描述 GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。GNU wget 1.18之前版本中存在安全漏洞,该漏洞源于从HTTP重定向到FTP URL时,程序没有正确处理文件名。远程攻击者可利用该漏洞写入任意本地文件。 解决方案 厂商补
运维知识点-IIS
aming小老弟
01-19 3725
HTTP.sys的功能类似于转发器,将接收到的Web请求,发送到运行网站或Web应用程序用户模式进程的请求队列,并将响应发送回客户端。对WWW服务执行所有基于文本的日志记录;微软关于漏洞的公告:https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-034。更多分析见:https://blogs.360.cn/post/cve_2015_6135_http_rce_analysis.html。
文件包含及代码执行及命令执行
j1044957016的博客
06-01 2651
文件包含,代码执行,命令执行常见的函数,以及如何绕过过滤
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2319
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
wget下载整个网站或特定目录
weixin_34255055的博客
12-09 2825
需要下载某个目录下面的所有文件。命令如下 wget -c -r -np -k -L -p www.xxx.org/pub/path/ 在下载时。有用到外部域名的图片或连接。如果需要同时下载就要用-H参数。 wget -np -nH -r --span-hosts www.xxx.org/pub/path/ -c 断点续传 -r 递归下载,下载指定网页某一目录下(包括...
解决ftp不支持软连接
笔尖的痕的专栏
10-23 2241
可以把需要共享的文件夹挂载到FTP目录中的一个子目录上。这个目录对于vsftpd而言是一个正常文件系统的目录,于是就可以被共享了。当不需要共享目录时,直接umount即可,用法: mount --bind /opt/data1 /data/data1 左挂载到右 占左面空间
wget, 一个强大的下载命令
热门推荐
aaaaatiger--寻路
04-17 1万+
1wget常用参数如下  GNU Wget ,一个非交谈式的网路抓档工具.    用法: wget [选项]... [URL]...    命令的引数使用长项目与短项目相同.     启动:    -V, --version显示Wget的版本并且离开.    -h, --help显示这个说明档.    -b, -background在启动之後
wget命令详解
程序员「阿基米东」的编程之旅
02-01 7496
wget是一个从网络上自动下载文件的自由工具,支持通过HTTP、HTTPS、FTP三个最常见的TCP/IP协议下载,并可以使用HTTP代理。wget名称的由来是“World Wide Web”与“get”的结合。wget的使用格式 Usage: wget [OPTION]… [URL]…用wget做站点镜像: wget -r -p -np -k http://dsec.pku.edu.cn
解决FTP不支持软连接
BeautyGao的专栏
02-25 3943
http://my.oschina.net/FACEqiu/blog/161099 mount --bind /opt/data1 /data/data1 左挂载到右 占左面空间
GNU Wget 命令及其参数说明
ctrigger的专栏
06-10 1591
GNU Wget(常简称为Wget)是一个在网络上进行下载的简单而强大的自由软件,其本身也是GNU计划的一部分。它的名字是“World Wide Web”和“Get”的结合,同时也隐含了软件的主要功能。当前它支持通过HTTP、HTTPS,以及FTP这三个最常见的TCP/IP协议协议下载。 启动参数:这一类参数主要提供软件的一些基本信息。 -V,–version 显示软件版本号然后退出; -h,–...
$ apt-get install wget -bash: apt-get: command not found
最新发布
09-07
$ apt-get install wget 是一条在基于Debian的Linux系统(例如Ubuntu)中使用的命令,用于安装名为wget的网络下载工具。这条命令告诉系统的包管理器apt-get来安装wget软件包。 如果你在执行这条命令时收到了 "bash:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值