Para todos aquellos que hagan uso de esta aplicación y de una distribución deben saber que es probable que aún sea vulnerable y suponga un problema para la seguridad del equipo. A pesar de que ha transcurrido bastante tiempo desde que se detectó la vulnerabilidad CVE-2016-4971 de wget y han sido pocas las distros que han solucionado el problema de forma correcta.
Muchas veces hablamos de que la publicación de soluciones no se ajusta a la importancia de los problemas y nunca habíamos tenido una situación similar en las distribuciones Linux. Generalmente la llegada de soluciones acostumbra a ser bastante eficaz, pero parece que la vulnerabilidad RCE de este software es ya una excepción en toda regla.
Aunque puede ser improbable, para todos los usuarios que no conozcan en qué consiste esta aplicación, permite descargar e instalar software haciendo uso de la consola de una forma más o menos sencilla.
Para todos aquellos que no se acuerden, el problema de seguridad radicaba en la interpretación de las redirecciones que se realizaban de HTTP a FTP, permitiendo redirigir al usuario a ubicaciones que podrían alojar código malware. En el caso de una redirección de HTTP a otra HTTP esto no es posible y está controlado de forma correcta, pero en el caso detallado con anterioridad no existe dicho control y podría desembocar en una ejecución remota de código.
¿Qué distros poseen una versión de wget no vulnerable?
Mencionando cuáles no sufren el problema es probable que termines primero. Ubuntu ha sido una de las que más prisa se dio por actualizar la versión de wget al igual que ArchLinux. Sin embargo, otras distribuciones como Debian aún tienen pendientes de llevar a cabo esta actualización.
Sin embargo, ahora empiezan otros problemas, ya que desde Red Hat han confirmado que algunas versiones no recibirán la actualización de wget que pone fin al problema de seguridad, como puede ser el caso de todas las 6.x y anteriores.
La versión 1.18 del software pone fin al problema, siendo muchos los expertos en seguridad que recomiendan a los usuarios no esperar y realizar la descarga de la actualización de forma automática, reduciendo de forma considerable los tiempos de espera que en algunas distros se barajan.
Os recomendamos visitar el tutorial de Wget la herramienta para descargar páginas web en Linux.