MiracleLinux 4wget-1.12-1.11.AXS4AXSA:2014-010:01
critical Nessus プラグイン ID 289324
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2014-010:01 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。GNU Wget は、HTTP または FTP プロトコルのいずれかを使用できるファイル取得ユーティリティです。Wget の機能には、ログアウト中にバックグラウンドで作業する機能、ディレクトリの再帰取得、ファイル名のワイルドカード照合、リモートファイルタイムスタンプのストレージと比較、FTP サーバーでの Rest の使用と HTTP サーバーでの範囲の使用による、低速または HTTP サーバーでのファイル取得機能が含まれます。不安定な接続、プロキシサーバーのサポート、および構成可能性。
このリリースで修正されたセキュリティ問題
CVE-2010-2252 GNU Wget 1.12 以前では、元の URL の代わりにサーバー提供のファイル名を使用して、ダウンロードの宛先ファイル名を決定します。これにより、リモートサーバーが、.wgetrc ファイル名を持つ URL への 3xx リダイレクトにより、任意のファイルを作成または上書きすることができます細工されたファイル名を持つ URL への 3xx リダイレクトが続き、ホームディレクトリの dotfile への書き込みの結果として任意のコードが実行される可能性があります。
修正されたバグ:
以前は、wget は、証明書で指定された代替名を有効とする HTTPS SSL 証明書をサポートしておらず、証明書エラーで失敗していました。これは修正されました。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける wget パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289324
ファイル名: miracle_linux_AXSA-2014-010.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.3
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2010-2252
CVSS v3
リスクファクター: Critical
基本値: 9.3
現状値: 8.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:wget, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/3/12
脆弱性公開日: 2010/7/6
参照情報
CVE: CVE-2010-2252