GNU Wget afectado por una vulnerabilidad que permite el ataque “symlink”

Escrito por Adrián Crespo
GNU Linux
0

Todavía no se ha completado el proceso de parcheado de la vulnerabilidad detectada en Bash en la mayoría de los sistemas y ya tenemos que hablar de otro problema que afecta a los sistemas Unix y Linux en principio. Se ha detectado que la herramienta para la descarga de contenidos desde servidores web Wget está afectada por un problema de seguridad que podría permitir la realización de un ataque haciendo uso del método symlink.

Aunque resulta complicado que nunca se haya oído hablar, para todos aquellos que no la conozcan, se trata de una aplicación que solo se puede hacer uso utilizando el terminal y que permite descargar y gestionar archivos de servidores web que hagan uso de HTTP, HTTPS y FTP. Aunque pueda parecer que se trata de un problema que únicamente afecta a Windows (es donde se hace un mayor uso de esta herramienta) la verdad es que esta ha sido portada a otro sistemas operativos, como Windows y Mac OS. Lo más lógico es que el fallo se extendiese a las versiones de los distintos sistemas operativos, pero de momento solo se ha confirmado este problema para los sistemas operativos Unix y Linux.

La vulnerabilidad, que ha sido reportada como CVE-2014-4877  permite la utilización de un ataque simbólico de forma remota para crear un carpeta de forma remota y asó proceder a la creación de carpetas o archivo, permitiendo incluso sobrescribir archivos creados con anterioridad.

La vulnerabilidad de Wget considerada crítica

Se trata de una aplicación que no solo está presente en los ordenadores de usuarios particulares, también se puede encontrar en la mayor parte de servidores, y es por esto que resulta necesario instalar la actualización que ya se encuentra disponible, ya que los ciberdelincuentes podrían utilizar esta para difundir malware utilizando servidores legítimos.

A pesar de todo, se ha publicado una nueva versión de Wget que soluciona el problema en cuestión. Esta nueva versión puede descargarse desde aquí.

Fuente | The Hacker News


Noticias relacionadas