漏洞起因
设计错误
影响系统
GNU wget 1.11.4
GNU wget 1.10.2
GNU wget 1.10.1
GNU wget 1.10
GNU wget 1.9.1
GNU wget 1.9
GNU wget 1.8.2
GNU wget 1.8.1
GNU wget 1.8
GNU wget 1.7.1
GNU wget 1.7
GNU wget 1.6
GNU wget 1.5.3
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须构建恶意证书,诱使用户访问。
漏洞信息
Wget是一款命令行的下载工具。
Wget处理部分字段中包含NULL (‘\0’)字符的SSL证书时存在错误,攻击者可以利用漏洞伪造恶意SSL证书,并替代合法证书,诱使WGET用户访问,进行中间人等攻击,导致敏感信息泄漏。
测试方法
厂商解决方案
用户可联系供应商获得最新程序:
http://hg.addictivecode.org/wget/mainline/rev/f2d2ca32fd1b
http://hg.addictivecode.org/wget/mainline/rev/2d8c76a23e7d
漏洞提供者
Micah Cowan
0 条评论。