wgetにシンボリックリンクの扱いに関する脆弱性

あるAnonymous Coward 曰く、　コマンドラインからHTTPやFTPなどでファイルをダウンロードするツールwgetに脆弱性が発見された。すでにパッチが公開されている（eWeek、JPCERT、マイナビ、Slashdot）。

　問題となる脆弱性は、FTPで再帰的にファイルをダウンロードする際、サーバから取得するディレクトリ一覧のなかに細工されたシンボリックリンクが仕込まれていると、wgetがローカルファイルシステム側の任意のファイルを作成したり上書きしたりする可能性があるというもの。これにより、wgetを実行しているユーザーの権限で任意のファイルが作成されたり、上書きされる可能性があるという。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
stringsコマンドに脆弱性 2014年10月31日
WindowsのOLEに新たな脆弱性、外部から任意のコードが実行される可能性 2014年10月24日
Apple、OS X 10.8/10.9向けにShellshockやPOODLEのみを修正するアップデートをリリース 2014年10月21日
揺るがされるオープンソースセキュリティーの理想 2014年10月19日