中危 wget 欺骗漏洞

CVE编号

CVE-2009-3490

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2009-10-01
漏洞描述
在1.12之前的GNUWget没有正确地处理X的CommonName字段中的域名中的“0”字符。509证书,允许中间人远程攻击者通过合法认证机构签发的手工证书欺骗任意SSL服务器,这是CVE-2009-2408的相关问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://addictivecode.org/pipermail/wget-notify/2009-August/001808.html
http://hg.addictivecode.org/wget/mainline/rev/1eab157d3be7
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
http://marc.info/?l=oss-security&m=125198917018936&w=2
http://marc.info/?l=oss-security&m=125369675820512&w=2
http://permalink.gmane.org/gmane.comp.web.wget.general/8972
http://secunia.com/advisories/36540
http://www.securityfocus.com/bid/36205
http://www.vupen.com/english/advisories/2009/2498
https://bugzilla.redhat.com/show_bug.cgi?id=520454
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 gnu wget * Up to
(including)
1.11.4
运行在以下环境
应用 gnu wget 1.10 -
运行在以下环境
应用 gnu wget 1.10.1 -
运行在以下环境
应用 gnu wget 1.10.2 -
运行在以下环境
应用 gnu wget 1.11 -
运行在以下环境
应用 gnu wget 1.11.1 -
运行在以下环境
应用 gnu wget 1.11.2 -
运行在以下环境
应用 gnu wget 1.11.3 -
运行在以下环境
应用 gnu wget 1.5.3 -
运行在以下环境
应用 gnu wget 1.6 -
运行在以下环境
应用 gnu wget 1.7 -
运行在以下环境
应用 gnu wget 1.7.1 -
运行在以下环境
应用 gnu wget 1.8 -
运行在以下环境
应用 gnu wget 1.8.1 -
运行在以下环境
应用 gnu wget 1.9 -
运行在以下环境
应用 gnu wget 1.9.1 -
运行在以下环境
系统 centos_5 wget * Up to
(excluding)
1.11.4-2.el5_4.1
运行在以下环境
系统 debian_10 wget * Up to
(excluding)
1.12-1
运行在以下环境
系统 debian_11 wget * Up to
(excluding)
1.12-1
运行在以下环境
系统 debian_12 wget * Up to
(excluding)
1.12-1
运行在以下环境
系统 debian_4.0 wget * Up to
(excluding)
1.10.2-2+etch1
运行在以下环境
系统 debian_5.0 wget * Up to
(excluding)
1.11.4-2+lenny1
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
1.11.4-2.el5_4.1
运行在以下环境
系统 redhat_5 wget * Up to
(excluding)
0:1.10.2-1.el4_8.1
阿里云评分
6.5
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    DoS
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况