欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 3066|回复: 0

[安全通知] 关于GNU Wget HTTP整数溢出漏洞通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33930
威望
13983
发表于 2017-11-13 16:15:18 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到GNU官方在10月26日发布了两个漏洞公告,主要修复了Wget中存在的两个HTTP整数溢出漏洞(漏洞编号:CVE-2017-13089,CVE-2017-13090),攻击者可利用该漏洞进行 拒绝服务和恶意代码执行 攻击。
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞概述】
   Wget 1.19.2之前版本存在HTTP整数溢出漏洞(CVE-2017-13089及CVE-2017-13090),该漏洞系Wget函数实现上存在栈缓冲区溢出导致,攻击者通过构造的特殊响应块长度,可在受影响应用上下文中执行任意代码,最终导致拒绝服务攻击或者执行恶意代码。

【风险等级】
   高风险

【漏洞风险】
   存在漏洞的Wget可能受到恶意HTTP响应攻击,导致拒绝服务和恶意代码执行

【影响版本】
  Wget 1.19.2之前的版本

【安全版本】
  1)CentOS 7系列:wget-1.14-15.el7_4.1.x86_64.rpm(CentOS 5/6由于未引入受影响的代码,故不受影响)
  2)Debian系列:1.16-1+deb8u4, 1.18-5+deb9u1, wget/1.19.2-1
  3)Ubuntu LTS系列:
(1)Ubuntu 16.04 LTS:wget 1.17.1-1ubuntu1.3
(2)Ubuntu 14.04 LTS:wget 1.15-1ubuntu1.14.04.3
(3) Ubuntu 12.04 LTS:wget 1.13.4-2ubuntu1.5

【修复建议】
  
目前各大Linux发行版官方均已发布安全更新修复该漏洞,建议您参照上述【安全版本】升级到对应的最新版本。
  1)如果您的服务器为Ubuntu系统,建议您参照上述【安全版本】更新相应的Wget版本,更新方法如下:
【Ubuntu 12.04/14.04/16.04 LTS系列用户】
(1)sudo apt-get update && sudo apt-get install wget,进行系统更新;
(2)dpkg -l wget,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。


  2)如果您的服务器为CentOS 7系统,建议您参照上述【安全版本】更新相应的Wget版本,更新方法如下:
【CentOS 7系列用户】
  1)yum clean all && yum makecache,更新软件源;
  2)yum update wget  -y,更新当前Wget版本;
  3)rpm -qa wget,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。


【Debian 系列用户】

  1)apt-get update;apt-get install wget,进行软件源更新并安装新版本wget
  2)dpkg -l wget,检查当前版本是否为【安全版本】,如果是,则说明修复成功。

【漏洞参考】
  1)https://xorl.wordpress.com/2017/11/11/cve-2017-13089-wget-http-integer-overflow/
  2)https://access.redhat.com/errata/RHSA-2017:3075
  3)https://usn.ubuntu.com/usn/usn-3464-1/
  4)https://security-tracker.debian.org/tracker/CVE-2017-13089

2017/11/13
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-12-12 09:54 , Processed in 1.167970 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部