Mae GNU Wget2 2.2.1 ar gael nawr. Mae'n cynrychioli fersiwn wedi'i hailysgrifennu a'i hailgynllunio'n llwyr o raglen GNU Wget ar gyfer lawrlwytho cynnwys dychweliadol awtomataidd. Mae Wget2 yn cynnig ystod o opsiynau ychwanegol, yn cefnogi lawrlwythiadau aml-edau, yn galluogi defnyddio swyddogaethau sydd ar gael trwy'r llyfrgell libwget, yn cefnogi protocolau HTTP/2 a TLS 1.3, yn galluogi lawrlwytho data wedi'i newid yn unig, gall arbed data o weinyddion ffrydio, yn trin enwau parth rhyngwladol yn gywir, a gall drawsgodio cynnwys wedi'i lawrlwytho. Mae Wget2 wedi'i drwyddedu o dan y drwydded GPLv3+, ac mae'r llyfrgell wedi'i thrwyddedu o dan y drwydded LGPLv3+.
Mae'r fersiwn newydd yn trwsio dau wendid:
- CVE-2025-69194 β Diffyg dilysu llwybr ffeil priodol wrth brosesu cynnwys yn y fformat Metalink, a ddefnyddir i ddisgrifio dolenni lawrlwytho. Defnyddio'r dilyniant "../" mewn llwybrau ffeiliau o fewn bloc , gall ymosodwr greu, clirio, neu drosysgrifennu ffeiliau mympwyol y tu allan i'r cyfeiriadur sylfaenol y cΓ’nt eu huwchlwytho iddo. Er enghraifft, gallai ymosodwr drosysgrifennu cynnwys ~/.ssh/authorized_keys neu ~/.bashrc a gweithredu eu cod ar y system.
- CVE-2025-69195 β Gallai gorlif byffer yn y cod diheintio enwau ffeiliau yn y ffwythiant get_local_filename_real() arwain at weithredu cod wrth brosesu URLau wedi'u crefftio'n arbennig ar dudalennau wedi'u llwytho neu wrth brosesu ailgyfeiriadau. Mae'r broblem yn digwydd pan fydd yr opsiwn "--restrict-file-names=windows|unix|ascii" wedi'i alluogi ac fe'i hachosir gan ddyrannu byffer sefydlog o 1024-beit heb wirio maint gwirioneddol y data sy'n cael ei ysgrifennu.
Mae newidiadau nad ydynt yn gysylltiedig Γ’ diogelwch yn cynnwys ychwanegu'r opsiwn "--show-progress" i nodi cynnydd lawrlwytho, defnyddio amser lleol wrth nodi'r opsiwn "--no-use-server-timestamps", cefnogaeth i'r rhagddodiad 'no_' mewn paramedrau ffurfweddu, a defnyddio libnghttp2 ar gyfer profi HTTP/2.
Ffynhonnell: opennet.ru
