Wget-Schwachstelle führt zu unsicheren Authentifikations Handling

Das BSI warnt vor einer kürzlich entdeckte Schwachstelle (CVE-2024-38428) in Wget, die es remote anonymen Angreifern ermöglicht die Ausnutzung eines Fehlers im URL-Parsing, um potenziell schädliche Angriffe durchzuführen. Die Schwachstelle betrifft Wget-Versionen bis einschließlich 1.24.5 und hat einen CVSS-Basis-Score von 6,3 (mittel). Die Sicherheitslücke wurde am 17. Juni 2024 bekanntgegeben und am 19. Juni 2024 durch ein Update behoben.

Wget, ein beliebtes Kommandozeilenprogramm zum Herunterladen von Dateien, basierte bisher auf dem veralteten RFC 2396-Standard von 1998 zur Verarbeitung von URLs. Trotz der veralteten Standards war die Implementierung der Benutzerinformationskomponente fehlerhaft. Konkret konnte Wget Semikolons in der Benutzerinformationskomponente einer URL nicht korrekt interpretieren, was zu Sicherheitsrisiken führte. Diese Fehler im Parsing könnten Angreifer ausnutzen, um Missinterpretationen der URL zu erzwingen, was unter anderem zu falschen DNS-Anfragen, möglichen Phishing-Angriffen und der unabsichtlichen Offenlegung sensibler Daten führen könnte.

In einem E-Mail-Austausch wurde betont, dass die aktuelle Implementierung von Wget 1.x nicht mit dem URI-Standard RFC 3986 konform ist, der Semikolons in der Benutzerinformationskomponente erlaubt. Die fehlerhafte Verarbeitung führte zu einer unsicheren Handhabung von Anmeldedaten und der Möglichkeit für Angreifer, Phishing- und Spoofing-Angriffe durchzuführen oder Man-in-the-Middle-Angriffe zu erleichtern.

Tim Rühsen, einer der Entwickler, bestätigte am 19. Juni 2024, dass ein Fix implementiert wurde (Commit ed0c7c7e0e8f7298352646b2fd6e06a11e242ace), um die Parsing-Logik zu korrigieren. Der Fix basiert weiterhin auf dem RFC 2396-Standard, wurde jedoch angepasst, um die Benutzerinformationskomponente korrekt zu interpretieren. Da Wget 1.x auf diesem veralteten Standard basiert, wird es keine vollständige Umstellung auf modernere Standards geben. Nutzer sollten prüfen, ob sie auf die neuere Version Wget2 umsteigen können, die bereits von Fedora 40 verwendet wird und eine robustere Implementierung bietet.

Es wird dringend empfohlen, Wget auf die neueste Version zu aktualisieren, um die Sicherheitslücke zu schließen. Details zum Update und den Fix finden sich auf der GitHub Advisory Database sowie in der GNU-Mailingliste.

Related Posts

Sicherheitslücke in iOS und OSX startet unautorisiert FaceTime Anrufe

Eine schwerwiegende Sicherheitslücke (CVE-2024-23282) betrifft iOS-Geräte und OSX, selbst wenn der Lockdown-Modus aktiviert ist. Dieser Fehler ermöglicht es, dass durch eine bösartig gestaltete E-Mail unautorisierte FaceTime-Anrufe initiiert werden können. Zwar blockiert der Lockdown-Modus eingehende FaceTime-Anrufe, aber er verhindert nicht ausgehende. Betroffen sind:

Read More

OS Command Injection in GeoVision Kamerasystemen möglich

Eine schwerwiegende OS Command Injection-Schwachstelle (CVE-2024-6047) wurde in bestimmten End-of-Life (EOL)-Geräten von GeoVision entdeckt. Diese Schwachstelle ermöglicht es nicht authentifizierten, entfernten Angreifern, beliebige Systembefehle auf den betroffenen Geräten auszuführen. Die Schwachstelle hat eine CVSSv3-Bewertung von 9.8 (Kritisch).

Read More

Kritische Sicherheitslücke in ASUS-Routern entdeckt

Am 14. Juni 2024 wurde eine schwerwiegende Sicherheitslücke (CVE-2024-3080) in mehreren ASUS-Routern bekannt gegeben, die eine unzureichende Authentifizierung aufweist. Diese Schwachstelle ermöglicht es Angreifern, sich ohne Authentifizierung remote Zugriff auf die betroffenen Geräte zu verschaffen. Die Lücke wurde mit einem CVSS-Score von 9.8 als kritisch eingestuft, was die erhebliche Gefahr unterstreicht.

Read More