研究人員針對Wget漏洞提出警告,呼籲用戶近期應留意相關資安公告
支付動態 · 2024-06-21

德國電腦緊急應變團隊(CERT-Bund)針對下載工具Wget的漏洞CVE-2024-38428提出警告,並一度將其CVSS風險評分評為10分,因此,有資安研究人員認為,接下來各家Linux開發商將會著手處理,用戶應留意相關公告

不過,事隔2天,CERT-Bund下修CVE-2024-38428的CVSS分數為6.3,列為中等風險漏洞,但為何大幅調整風險評分,他們並未進一步說明。

值得留意的是,目前最新的版本,是今年3月發布的1.24.5版,因此Günter Born認為,這項弱點有可能影響相當廣泛,有待各Linux開發商著手修補。

這項漏洞發生的原因,在於Wget模組url.c處理URI的子元件userinfo當中的分號出錯,而有可能導致在userinfo裡的資料被錯誤解讀成主機子元件的一部分,若有人使用特製的URL,就有可能讓身分驗證資料、主機標頭資訊,以及帳密資料洩露的情況,甚至部分資料攻擊者可進一步用於網路釣魚和中間人攻擊(MitM)。

根據GNU基金會的漏洞討論區,開發人員Tim Rühsen表示,他們正在努力修補相關程式碼緩解漏洞,但也強調,Wget 1.x版實作的URL解析器,是依據1998年的標準RFC 2396打造,所以導致這樣的錯誤,然而基於相容性的考量,開發團隊不會更換此解析器採用的標準。

這名開發人員也指出,GNU已開發Wget2新版,有些Linux版本開始改用新版取代1.x,例如:Fedora開發團隊於40版導入Wget2。

Popular articles
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Indiana online casino bill stalls in House committee
Regulation
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
Kazakhstan plans to penalise online casino promotions
Regulation
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
British gambling levy rates confirmed for each vertical
Regulation
Home
Game
Cooperation
Find
My