ZeroBox Vulnerability Database

漏洞起因
设计错误
 
影响系统
GNU wget 1.11.4
GNU wget 1.10.2
GNU wget 1.10.1
GNU wget 1.10
GNU wget 1.9.1
GNU wget 1.9
GNU wget 1.8.2
GNU wget 1.8.1
GNU wget 1.8
GNU wget 1.7.1
GNU wget 1.7
GNU wget 1.6
GNU wget 1.5.3
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息。
 
攻击所需条件
攻击者必须构建恶意证书，诱使用户访问。
 
漏洞信息
Wget是一款命令行的下载工具。
Wget处理部分字段中包含NULL (‘\0’)字符的SSL证书时存在错误，攻击者可以利用漏洞伪造恶意SSL证书，并替代合法证书，诱使WGET用户访问，进行中间人等攻击，导致敏感信息泄漏。
 
测试方法
 
厂商解决方案
用户可联系供应商获得最新程序：
http://hg.addictivecode.org/wget/mainline/rev/f2d2ca32fd1b
http://hg.addictivecode.org/wget/mainline/rev/2d8c76a23e7d
 
漏洞提供者
Micah Cowan