{"id":296459,"date":"2024-06-18T02:42:54","date_gmt":"2024-06-18T00:42:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296459"},"modified":"2024-06-18T08:32:05","modified_gmt":"2024-06-18T06:32:05","slug":"kritische-schwachstelle-cve-2024-38428-in-wget-dringend-handeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/18\/kritische-schwachstelle-cve-2024-38428-in-wget-dringend-handeln\/","title":{"rendered":"Kritische Schwachstelle CVE-2024-38428 in wget"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Im Kommandozeilenprogramm wget gibt es eine kritische Schwachstelle, die mit dem CVSS Base Score 10.0 bewertet wird. CERT-Bund warnt vor der Schwachstelle, die in wget Versionen <=1.24.5 enthalten ist. Ein Angreifer kann einen nicht im Detail spezifizierten Angriff durchf\u00fchren. Wer wget unter Linux oder Windows nutzt, sollte dringend handeln und die Verwendung des Programms aussetzen. Denn noch gibt es keine aktualisierte Version.<\/p>\n

<\/p>\n

Was ist wget?<\/h2>\n

\"\"Bei wget<\/a> handelt es sich um ein freies Kommandozeilenprogramm des GNU-Projekts zum Herunterladen von Dateien aus dem Internet. Zu den unterst\u00fctzten Protokollen geh\u00f6ren ftp, http und https. Das Programm gibt es unter anderem f\u00fcr Unix, GNU\/Linux, OS\/2, Windows und SkyOS. Es steht unter der GNU General Public License und kann von der Wget-Seite<\/a> heruntergeladen werden.<\/p>\n

Kritische Schwachstelle CVE-2024-38428 in wget<\/h2>\n

Blog-Leser Bernie hat im Diskussionsbereich auf die Warnung von CERT-Bund<\/a> vom 17. Juni 2024 zu wget hingewiesen (danke daf\u00fcr). Es wurde eine Schwachstelle entdeckt, die als kritisch und mit dem CVSS Base Score 10.0 bewertet wird.<\/p>\n

<\/p>\n

Die Schwachstelle betrifft die Open-Source-Versionen von wget Versionen bis einschlie\u00dflich der Version 1.24.5 (das ist die derzeit aktuelle Version). Beim CERT-Bund hei\u00dft es zur Schwachstelle nur, dass ein anonymer Remote-Angreifer die Schwachstelle in wget ausnutzen kann, um einen nicht n\u00e4her spezifizierten Angriff durchzuf\u00fchren. Auf GitHub gibt es diese Warnung<\/a> zur Schwachstelle.<\/p>\n

Details zur Schwachstelle CVE-2024-38428<\/h2>\n

Unter CVE-2024-38428<\/a> erf\u00e4hrt man, dass das Modul url.c <\/em>in GNU Wget bis 1.24.5 Semikolons in der userinfo-Unterkomponente eines URIs falsch behandelt. Dadurch kann es zu einem unsicheren Verhalten kommen, bei dem Daten, die eigentlich in der userinfo-Unterkomponente sein sollten, f\u00e4lschlicherweise als Teil der host-Unterkomponente interpretiert werden. Tim R\u00fcbsen diskutiert die Details zu diesem Bug entdeckt seit dem 2. Juni 2024 auf der gnu.org-Liste im Beitrag Re: Semicolon not allowed in userinfo<\/a>.<\/p>\n

Manipulierte URLs k\u00f6nnten Authentifizierungs-Details und sensitive Informationen offen legen. Es besteht zudem die Gefahr einer Manipulation. Norddeutsch hat es in einem Kommentar so zusammen gefasst: Die verlinkten Diskussionen git hier<\/a>, insb. gnu.org<\/a> sprechen konkreten m\u00f6glichen Missbrauch an:<\/p>\n