Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

研究人員針對Wget漏洞提出警告,呼籲用戶近期應留意相關資安公告

Share

支付動態

2024-06-21

德國電腦緊急應變團隊(CERT-Bund)針對下載工具Wget的漏洞CVE-2024-38428提出警告,並一度將其CVSS風險評分評為10分,因此,有資安研究人員認為,接下來各家Linux開發商將會著手處理,用戶應留意相關公告

不過,事隔2天,CERT-Bund下修CVE-2024-38428的CVSS分數為6.3,列為中等風險漏洞,但為何大幅調整風險評分,他們並未進一步說明。

值得留意的是,目前最新的版本,是今年3月發布的1.24.5版,因此Günter Born認為,這項弱點有可能影響相當廣泛,有待各Linux開發商著手修補。

這項漏洞發生的原因,在於Wget模組url.c處理URI的子元件userinfo當中的分號出錯,而有可能導致在userinfo裡的資料被錯誤解讀成主機子元件的一部分,若有人使用特製的URL,就有可能讓身分驗證資料、主機標頭資訊,以及帳密資料洩露的情況,甚至部分資料攻擊者可進一步用於網路釣魚和中間人攻擊(MitM)。

根據GNU基金會的漏洞討論區,開發人員Tim Rühsen表示,他們正在努力修補相關程式碼緩解漏洞,但也強調,Wget 1.x版實作的URL解析器,是依據1998年的標準RFC 2396打造,所以導致這樣的錯誤,然而基於相容性的考量,開發團隊不會更換此解析器採用的標準。

這名開發人員也指出,GNU已開發Wget2新版,有些Linux版本開始改用新版取代1.x,例如:Fedora開發團隊於40版導入Wget2。

Disclaimer:
Details
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu