Detectada vulnerabilidad grave en Wget

Tux Linux con brillo

Hace algunas horas, se detectó una vulnerabilidad en el programa Wget, una vulnerabilidad que desgraciadamente aún no se ha sido corregida completamente en algunas distribuciones linux.

Esta vulnerabilidad es bastante peligrosa, ya que permite aprovechar un error en el programa para ejecutar código en un sistema operativo linux, algo que obviamente hace tu ordenador vulnerable a ataques malintencionados por parte de otros usuarios.

Esta vulnerabilidad tiene que ver con un problema de redirección de los archivos que se descargan. El atacante puede acceder a la consola de comandos, haciendo una redirección del archivo que quieres bajar a un perfil /bash que ellos hayan puesto en su lugar.

El proyecto GNU ya lo ha corregido, ya que estas cosas tan graves se deben corregir nada más se descubren. La manera de corregirlo es renombrar el archivo descargado antes que ellos, para así evitar que puedan ejecutar el código.

La mala noticia es que aunque GNU haya hecho su trabajo, no todas las distribuciones linux lo han hecho. Entre las que si lo han hecho, tenemos a Ubuntu y a Arch Linux entre otros, que corrigieron el problema rápidamente.

La verdad que es algo extraño que en una alerta de seguridad de este tipo, no se haya actuando rápidamente para corregir la vulnerabilidad en todos los sentidos, ya que eso de ejecutar código libremente es bastante grave.

Lo peor de todo es que la herramienta wget se utiliza muchísimo en linux a la hora de descargar cosas, sobre todo desde la línea de comandos. Por este motivo, debes tener mucho cuidado con lo que descargas hasta que todo esto sea corregido.

Si quieres saber más sobre esta vulnerabilidad, visita este enlace a un blog en inglés, en el cual cuenta con todo lujo de detalles como consiguen entrar y ejecutar código en tu distribución linux.


Categorías

Noticias

azpe

Redactor apasionado por la tecnología al que le gusta compartir conocimientos y experiencias con el mundo y futuro administrador de sistemas informáticos en red.

Escribe un comentario