YJ028关于GNUWget存在缓冲区溢出漏洞安全预警.pdf

预警编号：YJ-2017028 恒安嘉新 关于 GNU Wget 存在缓冲区溢出漏洞 安全预警通告 恒安嘉新（北京）科技股份公司 2017 年 11 月 13 日 恒安嘉新安全预警通告 1 漏洞描述 近期 ，互联网爆出两个缓冲区溢出漏洞（ CVE-2017-13089 、 CVE-2017-13090 ），使用存在漏洞的 Wget 可能受到恶意 HTTP 响应攻击， 导致拒绝服务和恶意代码执行。漏洞的详细细节和利用代码已公开，近期被不法 分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)。 2 影响范围 漏洞影响 1.19.2 之前版本。 由于Wget 是 Unix/linux 发行版的基本组件，因此几乎所有发行版或封装 调用 Wget 的应用都受影响，包括一些主流的 Linux 发行版：Red Hat、Debi an、Ubuntu、SUSE、Gentoo、CentOS、FreeBSD、Oracle Linux、Amazo n Linux AMI 等默认带有 Wget 的 Linux 发行版众多。 请参考各发行版受影响范围： Red Hat Enterprise Linux 7 /security/cve/CVE-2017-13089 /security/cve/CVE-2017-13090 SUSE(SUSE Linux Enterprise Server/openSUSE) /security/cve/CVE-2017-13089/ /security/cve/CVE-2017-13090/ Debian 2 恒安嘉新安全预警通告 /tracker/CVE-2017-13089 /tracker/CVE-2017-13090 Found in versions Wget/1.16-1, Wget/1.19.1-5 Fixed in versions 1.16-1+deb8u4, 1.18-5+deb9u1, Wget/1.19.2-1 Ubuntu /~ubuntu-security/cve/2017/CVE-2017 -13089.html /~ubuntu-security/cve/2017/CVE-2017 -13090.html /usn/usn-3464-1/ /usn/usn-3464-2/ Ubuntu 17.10 Wget 1.19.1-3ubuntu1.1 Ubuntu 17.04 Wget 1.18-2ubuntu1.1 Ubuntu 16.04 LTS Wget 1.17.1-1ubuntu1.3 Ubuntu 14.04 LTS Wget 1.15-1ubuntu1.14.04.3 Ubuntu 12.04 LTS Wget 1.13.4-2ubuntu1.5 Gentoo /show_bug.cgi?id=CVE-2017-13089 /show_bug.cgi?id=CVE-2017-13090 Oracle Linux version 7 /cve/CVE-2017-13089.html /cve/CVE-2017-13090.html 3 恒安嘉新安全预警通告 Amazon Linux AMI /ALAS-2017-916.html CentOS /pipermail/centos-announce/2017-October/0 22609.html FreeBSD /rP453520 3 漏洞原理 2017 年 10 月 26 日，