Wget 爆出 CVE-2014-4877 漏洞：FTP 符号链接任意文件系统访问。

Package: wget
Version: 1.15-1
Severity: important

Upstream fix：

http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

References：https://bugzilla.redhat.com/show_bug.cgi?id=1139181
＝＝＝＝＝＝＝
Wget 受到了符号链接攻击，可以创建任意文件，目录或者符号链接，并且可以通过 FTP 递归的设置访问权限。这个 commit 修改是 Wget 默认设置的，Wget 不再创建本地符号链接，不再遍历他们，而是检索指向的文件。旧的行为可以通过 Wget invokation 命令的 --retr-symlinks＝no 选项来获取。
＝＝＝＝＝＝＝

文章转载自 开源中国社区 [http://www.oschina.net]