GNU Wget 缓冲区溢出漏洞

一、简介


漏洞披露时间:2017-10-27 00:00:00

GNU Wget 是 GNU 计划开发的一套用于在网络上进行下载的自由软件,它支持通过 HTTP、HTTPS 以及 FTP 这三个最常见的 TCP/IP 协议下载。

GNU Wget 1.19.2 之前的版本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。

二、解决方案


通过编译安装 GNU Wget 最新版本来修复漏洞,包括 GNU Wget 1.19.2 版本或以上最新版本。

三、修复过程


  1. 查看你的当前 Wget 版本:

    1. wget -V
  2. 下载最新版本:

    Wget 官方网站 http://ftp.gnu.org/gnu/wget/

  3. 编译安装 Wget:

    下载wget-1.19.4.tar.gz文件,执行命令:

    1. wget http://ftp.gnu.org/gnu/wget/wget-1.19.4.tar.gz

    将下载得到的wget-1.19.4.tar.gz文件,解压,执行命令:

    1. tar -zxvf wget-1.19.4.tar.gz

    进入文件目录,执行命令:

    1. cd wget-1.19.4

    编译,执行命令:

    1. ./configure --prefix=/usr --sysconfdir=/etc --with-ssl=openssl

    提示:编译过程中可能会提示检查失败,缺少某些包,例如 openssl、openssl-devel 这两个包,通过使用yum install安装缺少的包,再次执行编译命令。

    安装,执行命令:

    1. make && make install

    检查安装后的版本:

    1. wget -V

    输出:GNU Wget 1.19.4 built on linux-gnu.

至此,漏洞修复完毕。

(完)