| CNNVD-ID编号 | CNNVD-201812-1152 |
| CVE编号 | CVE-2018-20483 |
| 发布时间 | 2018-12-27 |
| 更新时间 | 2020-10-29 |
| 漏洞类型 | 信息泄露 |
| 漏洞来源 | Ubuntu,Red Hat,GNU Wget project.,Gentoo |
| 危险等级 | 高危 |
| 威胁类型 | 本地 |
| 厂 商 | N/A |
GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。
GNU Wget 1.20.1之前版本中的xattr.c文件的‘set_file_metadata’函数存在安全漏洞,该漏洞源于程序将文件的原始URL存储在user.xdg.origin.url元数据属性中。本地攻击者可通过读取该属性利用该漏洞获取敏感信息(包括:URL中所包含的凭证)。
目前厂商已发布升级了GNU Wget 信息泄露漏洞的补丁,GNU Wget 信息泄露漏洞的补丁获取链接:
http://git.savannah.gnu.org/cgit/wget.git/tree/NEWS
来源:GNU wget CVE-2018-20483 Local Information Disclosure VulnerabilityReferences: GNU Homepage (GNU) Bug 1662705 (CVE-2018-20483) - CVE-2018-20483 wget: Information exposure in set () xattr: strip credentials from any URL that is stored () xattr: strip credentials from any URL that is stored #3433 ()[security] Do not store username/password in extended attributes when enabling - ()106358 ()cgit logo index : wget.git ()Curl 7.64.0 ()
链接:链接:无
来源:MISC
来源:UBUNTU
来源:access.redhat.com
来源:bugzilla.redhat.com
来源:www.gnu.org
来源:github.com
来源:github.com
来源:github.com
来源:github.com
链接:https://github.com/curl/curl/commit/98e6629154044e4ab1ee7cff8351c7ebcb131e88
来源:MISC
来源:GENTOO
来源:CONFIRM
来源:BID
来源:access.redhat.com
来源:www.ubuntu.com
来源:www.securityfocus.com
来源:www.auscert.org.au
来源:www.auscert.org.au
来源:www.securityfocus.com
来源:www.auscert.org.au
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/152446/Ubuntu-Security-Notice-USN-3943-1.html
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/155162/Red-Hat-Security-Advisory-2019-3701-01.html
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/152051/Gentoo-Linux-Security-Advisory-201903-08.html
暂无