Se ha detectado que la herramienta para la descarga de contenidos
desde servidores web Wget está afectada por un problema de seguridad que podría
permitir la realización de un ataque haciendo uso del método symlink.
Aunque resulta complicado que nunca se haya oído
hablar, para todos aquellos que no la conozcan, se trata de una aplicación que
solo se puede hacer uso utilizando el terminal y que permite descargar y
gestionar archivos de servidores web que hagan uso de HTTP, HTTPS y FTP.
Recursos afectados
- Aunque pueda parecer que se trata de un problema que únicamente afecta a Windows (es donde se hace un mayor uso de esta herramienta) la verdad es que esta ha sido portada a otro sistemas operativos, como Windows y Mac OS. Lo más lógico es que el fallo se extendiese a las versiones de los distintos sistemas operativos.
- Por el momento solo se ha confirmado este problema para los sistemas operativos Unix y Linux.
- La vulnerabilidad, que ha sido reportada como CVE-2014-4877 permite la utilización de un ataque simbólico de forma remota para crear un carpeta de forma remota y asó proceder a la creación de carpetas o archivo, permitiendo incluso sobrescribir archivos creados con anterioridad.
- Se trata de una aplicación que no solo está presente en los ordenadores de usuarios particulares, también se puede encontrar en la mayor parte de servidores, y es por esto que resulta necesario instalar la actualización que ya se encuentra disponible, ya que los ciberdelincuentes podrían utilizar esta para difundir malware utilizando servidores legítimos.
- A pesar de todo, se ha publicado una nueva versión de Wget que soluciona el problema en cuestión. Esta nueva versión puede descargarse desde aquí.
