ProHoster > Blog > Internetnachrichten > GNU Wget2 2.2.1 behebt eine Sicherheitslücke, die das Überschreiben beliebiger Dateien ermöglichen könnte.

GNU Wget2 2.2.1 behebt eine Sicherheitslücke, die das Überschreiben beliebiger Dateien ermöglichen könnte.

GNU Wget2 2.2.1 ist jetzt verfügbar. Es handelt sich um eine vollständig neu geschriebene und überarbeitete Version des GNU Wget-Programms für den automatisierten, rekursiven Download von Inhalten. Wget2 bietet zahlreiche zusätzliche Optionen, unterstützt Multithreading, ermöglicht die Nutzung der verfügbaren Funktionen der libwget-Bibliothek, unterstützt die Protokolle HTTP/2 und TLS 1.3, ermöglicht das Herunterladen nur geänderter Daten, kann Daten von Streaming-Servern speichern, verarbeitet internationalisierte Domainnamen korrekt und kann heruntergeladene Inhalte transkodieren. Wget2 ist unter der GPLv3+-Lizenz lizenziert, die Bibliothek unter der LGPLv3+-Lizenz.

Die neue Version behebt zwei Sicherheitslücken:

  • CVE-2025-69194 – Fehlende Validierung von Dateipfaden bei der Verarbeitung von Inhalten im Metalink-Format, das zur Beschreibung von Download-Links verwendet wird. Verwendung der Sequenz „../“ in Dateipfaden innerhalb eines Blocks Ein Angreifer kann beliebige Dateien außerhalb des Basisverzeichnisses, in das sie hochgeladen wurden, erstellen, löschen oder überschreiben. Beispielsweise könnte ein Angreifer den Inhalt von ~/.ssh/authorized_keys oder ~/.bashrc überschreiben und seinen Code auf dem System ausführen.
  • CVE-2025-69195 – Ein Pufferüberlauf im Code zur Dateinamenbereinigung der Funktion `get_local_filename_real()` kann potenziell zur Ausführung von Schadcode führen, wenn speziell präparierte URLs auf geladenen Seiten oder Weiterleitungen verarbeitet werden. Das Problem tritt auf, wenn die Option `--restrict-file-names=windows|unix|ascii` aktiviert ist, und wird durch die Zuweisung eines festen 1024-Byte-Puffers verursacht, ohne die tatsächliche Größe der zu schreibenden Daten zu überprüfen.

Zu den Änderungen, die nicht die Sicherheit betreffen, gehören die Hinzufügung der Option "--show-progress" zur Anzeige des Downloadfortschritts, die Verwendung der lokalen Zeit bei Angabe der Option "--no-use-server-timestamps", die Unterstützung des Präfixes 'no_' in Konfigurationsparametern und die Verwendung von libnghttp2 für HTTP/2-Tests.

Source: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz und VPS-VDS-Servern 🔥 Kaufen Sie zuverlässiges Webhosting mit DDoS-Schutz, VPS- und VDS-Server | ProHoster