Hallo zusammen,
heute wurde mir eine Sicherheitslücke gemeldet, die sich auf das beliebte Download-Kommando WGET in Linux-Betriebssystemen bezieht. Inwiefern davon Mac OS betroffen ist, weiss ich nicht, da ich kein MAC OS einsetze. Vielleicht kann sich ein Mac-User kurz dazu äussern? Vorab vielen Dank!
Gefährdet sind alle diejenigen, die WGET mit der Option -m einsetzen. Also
bitte nicht mehr einsetzen. Dieses Kommando mit dem speziellen Parameter sollten eigentlich nur Personen einsetzen, die wissen, was sie tun - die sollten sich der Risiken eigentlich auch schon vorher bewusst gewesen sein.
Ein manipulierter Server kann beliebig auf das Root-Verzeichnis schreiben und dort entsprechend Schad-Code abkippen, wenn das System diese Rechte einräumt. Über einen Cron-Job wird dieser Schad-Code dann ausgeführt.
Ihr könnt feststellen, ob Ihr davon betroffen seid, indem Ihr die Version von wget erfragt:
oder
- Ist dies 1.16 oder grösser, aufatmen.
- Unter http://wget.addictivecode.org/…lyAskedQuestions#download könnt Ihr ein Update von wget holen - oder probiert es über Euren normalen Update / Upgrade-Vorgang:
Das "normale" wget-Kommando in der Form
wodurch einzelne Dateien heruntergeladen werden, ist von dieser Sicherheitslücke höchstwahrscheinlich nicht betroffen.
Beste Grüsse
Andreas