wget命令可能会因文件系统扩展属性而泄露用户密码(CVE-2018-20483)
所有在应用中使用了wget的程序员可能都要在疯狂购物的假期中修复自己的应用。
GNU wget是一个免费且适用于多平台的软件包,它可以通过http、https、ftp和ftps等一系列全球范围内都广泛使用的协议来检索文件。它是一个非交互式命令行工具,因此可以很容易地通过脚本、定时任务等调用它。GNU wget具有许多特性,可以在web网站或者FTP站点轻松检索大型文件和镜像。
该漏洞被标记为CVE-2018-20483,计算机本地用户可通过读取文件系统扩展属性来获取敏感信息(例如,URL中所包含的登录凭证)。
安全研究员Gynvael Coldwind(@voltagex)发现被存储的文件系统扩展属性中包括了用户名和密码。
TIL from @q3k and @marcan42:wget会将下载文件的源URL(有时是引用)保存在扩展属性中,而这其中就存在URL中有用户名/密码的情况。
$ getfattr -d -m – test
user.xdg.origin.url="https://user:passwd@gynvael.coldwind.pl/"
— Gynvael Coldwind (@gynvael) December 25, 2018
安全研究员Hanno Böck强调,URL中有时会包含外部服务的“登录令牌”。任何计算机用户都可以使用getfattr命令在计算机上访问到这些属性。
“下载文件的URL会作为文件系统扩展属性的一部分存储到本地。”Böck写道。
“通过运行getfattr -d [filename]
,您可以在Linux系统上看到这些属性(下载文件的URL存储在变量“user.xdg.origin.url”中)”
“这种方法也适用于user.xdg.referer.url变量存储的引用信息。根据Wget的更新日志中2016-07-22的记录,user.xdg.origin.url的值部分是由于curl中tool_xattr.c中fwrite_xattr的行为决定的。”
该问题也已向Chrome报告,并将很快得到解决。
根据Wget开发人员Tim Rühsen的说法,该程序在1.20.1版本中已默认禁用xattrs。
安全专家Hector Martin指出,一个想窃取含有敏感信息的URL的攻击者可以把含有文件系统扩展属性的文件用USB偷走。
这个漏洞可能会泄露敏感信息,甚至是认证证书。
同样,Chrome也可被这样利用。这些敏感文件可通过“mv”命令移动到别处。
— Hector Martin (@marcan42) December 25, 2018
以上也提醒我们,时刻保持软件处于最新版,可有效避免很多安全问题。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/79413/security/wget-flaw.html
最新评论