Разработчики open source утилиты Wget, которая повсеместно используется под Linux для скачивания файлов, исправили критическую уязвимость и 27 октября выпустили патч, который следует установить всем пользователям во избежание неприятностей. Новая версия Wget имеет номер 1.16.
Речь идёт об уязвимости CVE-2014-4877, которая допускает атаку с использованием символических ссылок (симлинков) через FTP-сервер, сказано в описании на Bugzilla.
Злоумышленник, который контролирует FTP-сервер, может создать на компьютере пользователя произвольные файлы, директории и симлинки и установить любые разрешения для них, если Wget скачивает контент с этого сервера в рекурсивном режиме (-r).
Баг проявляется, если Wget запрашивает список директорий на сервере и натыкается на симлинк, за которым следует директория с таким же названием.
Другими словами, хакер получает полный контроль над файловой системой пользователя, пишет хакер HD Moore, который случайно обнаружил этот баг и сообщил о нём участникам проекта GNU Wget. Кстати, в новой версии Wget 1.16 не только закрыта уязвимость с симлинками, но и сделан ряд других запланированных изменений, например, изменился индикатор загрузки по умолчанию (команда --show-progress).
HD Moore известен как автор программы для пентестинга Metasploit. После появления патча к Wget он сразу выпустил соответствующий модуль для Metasploit, эксплуатирующий эту уязвимость.
В отличие от последних багов Heartbleed, ShellShock, POODLE и Sandworm, уязвимость в Wget пока не получила персонального имени, хотя вполне этого заслуживает, учитывая распространённость этой программы. Специалисты по безопасности шутят, что её следует назвать WgetBleed или строка смерти. Ещё один вариант — wtfget от аббревиатуры WTF (“what the fuck?”, что литературно переводится как «чёрт побери, в чём дело?»).