GNU Wget2 2.2.1 अब उपलब्ध छ। यसले स्वचालित पुनरावर्ती सामग्री डाउनलोडको लागि GNU Wget कार्यक्रमको पूर्ण रूपमा पुनर्लेखन र पुन: डिजाइन गरिएको संस्करण प्रतिनिधित्व गर्दछ। Wget2 ले थप विकल्पहरूको दायरा प्रदान गर्दछ, बहु-थ्रेडेड डाउनलोडहरूलाई समर्थन गर्दछ, libwget पुस्तकालय मार्फत उपलब्ध कार्यक्षमताको प्रयोग सक्षम गर्दछ, HTTP/2 र TLS 1.3 प्रोटोकलहरूलाई समर्थन गर्दछ, केवल परिवर्तन गरिएको डेटाको डाउनलोड सक्षम गर्दछ, स्ट्रिमिङ सर्भरहरूबाट डेटा बचत गर्न सक्छ, अन्तर्राष्ट्रियकृत डोमेन नामहरू सही रूपमा ह्यान्डल गर्न सक्छ, र डाउनलोड गरिएको सामग्री ट्रान्सकोड गर्न सक्छ। Wget2 GPLv3+ इजाजतपत्र अन्तर्गत इजाजतपत्र प्राप्त छ, र पुस्तकालय LGPLv3+ इजाजतपत्र अन्तर्गत इजाजतपत्र प्राप्त छ।
नयाँ संस्करणले दुई कमजोरीहरू समाधान गर्दछ:
- CVE-2025-69194 — डाउनलोड लिङ्कहरू वर्णन गर्न प्रयोग गरिने मेटालिङ्क ढाँचामा सामग्री प्रशोधन गर्दा उचित फाइल मार्ग प्रमाणीकरणको अभाव। ब्लक भित्र फाइल मार्गहरूमा "../" अनुक्रम प्रयोग गर्दै। , आक्रमणकारीले अपलोड गरिएको आधार निर्देशिका बाहिर मनमानी फाइलहरू सिर्जना गर्न, खाली गर्न वा अधिलेखन गर्न सक्छ। उदाहरणका लागि, आक्रमणकारीले ~/.ssh/authorized_keys वा ~/.bashrc को सामग्रीहरू अधिलेखन गर्न सक्छ र प्रणालीमा तिनीहरूको कोड कार्यान्वयन गर्न सक्छ।
- CVE-2025-69195 — get_local_filename_real() प्रकार्यमा फाइलनाम सेनिटाइजेसन कोडमा बफर ओभरफ्लोले लोड गरिएका पृष्ठहरूमा विशेष रूपमा तयार पारिएका URL हरू प्रशोधन गर्दा वा रिडिरेक्टहरू प्रशोधन गर्दा सम्भावित रूपमा कोड कार्यान्वयन निम्त्याउन सक्छ। "--restrict-file-names=windows|unix|ascii" विकल्प सक्षम हुँदा र लेखिएको डेटाको वास्तविक आकार जाँच नगरी निश्चित १०२४-बाइट बफर आवंटित गर्दा समस्या हुन्छ।
गैर-सुरक्षा सम्बन्धित परिवर्तनहरूमा डाउनलोड प्रगति संकेत गर्न "--show-progress" विकल्पको थप, "--no-use-server-timestamps" विकल्प निर्दिष्ट गर्दा स्थानीय समयको प्रयोग, कन्फिगरेसन प्यारामिटरहरूमा 'no_' उपसर्गको लागि समर्थन, र HTTP/2 परीक्षणको लागि libnghttp2 को प्रयोग समावेश छ।
स्रोत: opennet.ru
