GNU Wget是一個免費軟件包,用於使用最廣泛使用的Internet協議HTTP,HTTPS,FTP和FTPS檢索文件。它是一個非交互式命令行工具,因此可以從腳本,cron作業,沒有X-Windows支持的終端等輕鬆調用它.GNU Wget有許多功能可以輕鬆地檢索大文件或鏡像整個Web或FTP站點。
跟蹤為CVE-2018-20483的缺陷可以允許本地用戶通過讀取屬性來獲取敏感信息(例如,URL中包含的憑證)。
安全研究員Gynvael Coldwind(@voltagex)發現存儲的屬性可以包括用戶用戶名和密碼。
來自@ q3k和@ marcan42的TIL:wget將下載文件的源URL(有時是引用者)保存在擴展屬性中。
這包括URL中有用戶/密碼的情況
$ getfattr -d -m - 測試
user.xdg.origin.url = “https://開頭用戶:[email protected]/”
- Gynvael Coldwind(@gynvael)2018年12月25日
安全研究員HannoBöck強調,URL有時可能包含用於外部服務(如文件託管)的“秘密令牌”。可以使用getfattr命令在任何已登錄的計算機上訪問這些屬性。
“下載的URL通過文件系統屬性存儲在支持Unix擴展屬性的系統上。”Böck寫道。
“您可以通過運行getfattr -d [filename]在Linux系統上看到這些屬性(下載URL存儲在變量”user.xdg.origin.url“中)”
“這也適用於user.xdg.referrer.url元數據屬性中的Referer信息。根據Wget ChangeLog中的2016-07-22,user.xdg.origin.url部分基於curl中tool_xattr.c中fwrite_xattr的行為。“讀取Mitre發佈的描述。
此問題已私下報告給Chrome,並將很快修復。
根據Wget開發人員TimRühsen的說法,該實用程序默認從版本1.20.1開始停止使用xattrs。
專家Hector Martin指出,想要竊取存儲的URL的威脅演員可以將其從目標的硬盤驅動器移動到USB密鑰。
所以是的,嗯,這不行。它不可發現,很容易洩露敏感信息。 Auth憑證甚至,認真?
Chrome也是這樣做的。它在`mv`中保存到另一個文件系統。 https://t.co/ThrpjXPWc5
- Hector Martin(@ marcan42)2018年12月25日
Pierluigi Paganini
(SecurityAffairs - wget,hacking)
閱讀更多 51安全 的文章
