Wget符号链接攻击
2014-11-04 10:52:35 
阿炯
Wget 爆出 CVE-2014-4877 漏洞:FTP 符号链接任意文件系统访问。Package: wget
Version: 1.15-1
Severity: important
Wget 受到了符号链接攻击,可以创建任意文件,目录或者符号链接,并且可以通过 FTP 递归的设置访问权限。这个 commit 修改是 Wget 默认设置的,Wget 不再创建本地符号链接,不再遍历他们,而是检索指向的文件。旧的行为可以通过 Wget invokation 命令的 --retr-symlinks=no 选项来获取。
参考连接:https://bugzilla.redhat.com/show_bug.cgi?id=1139181