UCloud-201711-003:GNU Wget缓冲区溢出漏洞安全预警 | U刻
  • UCloud-201711-003:GNU Wget缓冲区溢出漏洞安全预警

    栏目:安全资讯

    尊敬的UCloud用户:

    近日,GNU Wget 发布两个缓冲区溢出安全漏洞,攻击者可以利用漏洞进行拒绝服务和代码执行,请及时检查您所使用的Wget 是否受影响,并采取安全防御措施。

    影响范围

    Wget 1.19.2之前的版本

    修复方案
    1、升级到Wget的修复版本:
    【CentOS】
    CentOS 5/6:不受影响
    CentOS 7:wget-1.14-15.el7_4.1
    【Ubuntu LTS】
    Ubuntu 16.04 LTS:wget 1.17.1-1ubuntu1.3
    Ubuntu 14.04 LTS:wget 1.15-1ubuntu1.14.04.3
    Ubuntu 12.04 LTS:wget 1.13.4-2ubuntu1.5
    【Debian系列】
    wheezy:1.13.4-3+deb7u5
    jessie:1.16-1+deb8u4

    stretch:1.18-5+deb9u1

    漏洞详情
    CVE-2017-13089 :wget在connect.c:fd_read()函数实现上存在栈缓冲区溢出漏洞,攻击者通过构造的http.c:skip_short_body()响应块长度,可造成栈缓冲区溢出,在受影响应用上下文中执行任意代码。

    CVE-2017-13090:wget在connect.c:fd_read()函数实现上存在栈缓冲区溢出漏洞,攻击者通过构造的retr.c:fd_read_body()响应块长度,可造成缓冲区溢出,在受影响应用上下文中执行任意代码。

    参考链接