| |
 |
| Mehrere Sicherheitslücken in wget |
|
|
Veröffentlicht durch XTaran am Dienstag 14. Dezember 2004, 16:23
Aus der Beliebte-Programme-Rant Abteilung
|
|
|
|
|
dkg schreibt: "Das Programm wget, das für das nicht-interaktive Herunterladen von
Daten via HTTP, HTTPS und FTP z.B. in Skripten verwendet werden kann, besitzt mehrere Schwachstelle. Diese können dazu führen, daß beliebige Dateien innerhalb des Dateibaumes, an dessen Wurzel wget aufgerufen wird, neu erzeugt oder Dateien überschrieben werden. (Quelle: BugTraq-Posting von Jan Minar)" Gestern hatte auch schon HeiSec was dazu.
|
|
|
|
< Keine Leben ohne Internet möglich? | Druckausgabe | Sollen Google-Anzeigen auf debian.org? > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
|
Ich würde gerne folgenden auf HeiSec gefundenen Kommentar einbringen:
Maßlos übertrieben, Bernd Herd, herdsoft@t-online.de
Also ich habe da eher den Eindruck, daß sich Jan Minar da ganz schön wichtigtut. Wenn er in seinem Posting die wget-Authoren als imkompetent bezeichnet, und in der Debian Mailingliste erwähnt, daß er gar nicht richtig C programmieren kann.
Was hat er denn nun genau festgestellt:
1. Garbage in - Garbage out
wget überschreibt erwartungsgemäß Dateien, wenn man das ausdrücklich befiehlt.
Das ist kein Bug, sondern ein Feature, das man aber in seiner Verwendung verstehen sollte bevor man es einsetzt.
Ohne besondere Kommandozeilenoptionen überschreibt eine aktuelle wget-Version keine Dateien, auch wenn ein Redirect benutzt wird, stattdessen wird dem Dateinamen ein ".1" angehängt.
2. wget 1.8 ist veraltet
Veraltete Software ist häufig unsicher.
Das wussten wir schon.
3. Eine korrekte DNS-Konfiguration ist sicherheitsrelevant
Auch nichts neues.
4. wget 1.9 kann zur Anzeige irreführender Meldungen veranlasst werden, weil Meldungen vom Server für den Anwender nicht immer klar von Ausgaben von wget unterscheidbar sind.
Hier hat er einen Bug gefunden.
Ich halte es aber für unangemessen, die wget- Autoren wegen so einem Bug gleich als Inkompetent zu bezeichnen.
5. Die veraltete Software in debian "woody" ist ein Sicherheitsproblem.
Das stable release von Debian ist immer noch "woody" und Woody enthält wget 1.8.x, das einige zusätzliche Sicherheitsmängel aufweist, die in 1.9.x behoben wurden.
Das ist wohl dasselbe Problem wir "mozilla" in Version 1.0 in Woody!
Hier zeigt sich eine gravierende Schwäche des Debian Sicherheitskonzepts. Nach dem Debian Konzept müssten der Debian Maintainer nun eigentlich die Version 1.8.x so patchen, daß sie diese Sicherheitsmängel nicht mehr aufweist. Aus dem Bugreport geht aber hervor, daß die notwendigen Änderungen zu umfangreich wären. Daher
müsste Debian eigentlich die Version 1.9.x als Security Update zur Verfügung stellen. Es stellt sich dann die Frage, ob die Wahrscheinlichkeit existierende Anwendungen durch ein solches im
Kontext kaum getestetes Update zu gefährden groß ist im Vergleich zu den gefundenen Sicherheitsmängeln.
Das hat zur Folge, daß man in Debian "testing" (zur Zeit Sarge) einige Sicherheitsmängel weniger hat als in Debian "release" (zur Zeit woody), aber dafür sind andere in "release" schon durch das
Security Team gefixt, die in "testing" noch drin sind, und das ist wirklich ein konzeptionelles Problem.
--
Hurra, das ist die Realpräsenz!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ich frag mich sowieso wie lange die debian leute ihr jetziges release konzept noch aufrecht erhalten können.
die oss szene bewegt sich immer schneller, ich merk das z.B. bei den immer in kürzeren zyklen wiederkehrenden gentoo updates, da hat es ein release system wie das von debian schwer überhaupt noch ein stabiles release rauszubringen weil es nicht möglich ist auf einen aktuellen software stand zu kommmen, beim release gibts dan von den meisten programmen schon 10 neue versionen mit 100mal mehr funktionen und 50 gefixten fehlern.
|
|
|
|
|
|
|
|
|
|
|
|
|
Eben das ist das Problem - neue Features *und*
Bugfixes.
Splitten kann man auch schwer, denn während GNU
das neue CVS 1.12 noch als "new feature release"
sieht, benötige ich es wegen der Bugfixes (einige
neue Features sind auch Fixes für altes Verhalten,
andere hatten wir selbst in 1.11.1p1 gepatcht).
Ich selber komme beim Versuch, endlich wieder eine
stabile Version herauszugeben, weder mit der eige-
nen Arbeit/TODO nach, noch damit, von OpenBSD die
Bugfixes zu übernehmen (geb mir aber Mühe).
Ordentliches "den Code vorher lesen, verstehen und
testen" fällt dabei teils leider unter den Tisch.
Ich bin BSDler, ich darf das!
23.01.2005 12:32:12 UTC
#1 der Hall of Fame mit
100 Kommentare
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 15. December 2004, 16:10 MEW (#9)
|
|
|
|
|
solange bis die Änderungsrate die Anpassrate
übersteigt und das ganze zu einem massiven Sicherheitsproblem wird.
|
|
|
|
|
|
|
|
|
|
|
|
|
ich finde wegt auch ok...prima tool.
aber die news ist gar nicht so parteisch, es wird halt nur diese schwachstelle zitiert...der originalposter ist also contra wget.
und das darf er als finder der Lücke auch.
Allo
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. December 2004, 21:21 MEW (#4)
|
|
|
|
|
vorallem meine ich den von mir im Subjekt zitierten Text "Wget authors are/were incompetent". Ich finde es daneben einen Programmier prönlich anzugreifen, sein Knowhow in Frage zu stellen!
|
|
|
|
|
|
|
|
|
|
|
|
|
Falls du's noch nicht gemerkt hast, finden wir es alle daneben! Aber das hat nichts damit zu tun, dass du scheinbar die News nicht interpretieren konntest.
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 16. December 2004, 08:28 MEW (#10)
|
|
|
|
|
Wenn er doch Recht hat? Schau Dir mal durchschnitt-
lichen GNU code an. Zum Beispiel RCS.
|
|
|
|
|
|
|
|
|
|
|
|
|
Verstehst du den Unterschied zwischen einer Aussage und eines Zitates? Weder Symlink noch XTaran hat je behauptet, das die wget Autoren inkompetent sind! Es handelt sich hier um ein Zitat aus dem Advisory.
--
open minds - open source - open future - close windows
|
|
|
|
|
|
