News : Tool wget hat Sicherheitsleck

, 14 Kommentare

In einem Beitrag auf der Sicherheits Mailingliste Bugtraq berichtet Jan Minar von mehreren Sicherheitslecks, welche im Code des Unix Tools wget stecken sollen.

Ein neuer Maintainer kümmert sich seit Mitte des Jahres um die Pflege des Programmcodes und hat dabei festgestellt, dass sich dieser aufgrund von Patches als mittlerweile sehr unübersichtlich darstellt. Problematisch ist dies deshalb, weil der Code an sich auch nur wenig kommentiert ist. Der neue Maintainer Mauro Tortonesi wird wie folgt zitiert: „Der Code ist fehlerhaft, kaum kommentiert, schwer zu verstehen und nur schwer zu ändern. Er sieht aus wie ein Haufen zusammengewürfelter Patches und muss eigentlich neu geschrieben werden.“

Wget ist aber ein vielgenutztes Konsolen-Programm um Dateien auch automatisiert via HTTP, HTTPS oder FTP aus dem Internet zu laden. Aufgrund dieser Vielseitigkeit ist es sehr beliebt als Unterbau für eigene Programme und kann deshalb nicht einfach durch ein anderes ersetzt werden. Allein in Debian Sarge sollen laut Jan Minar 76 Pakete davon abhängen.

Da es derzeit noch keinen Patch gibt, der die Sicherheitslücken schließt, empfiehlt Minar als Workaround den Einsatz anderer Tools wie pavuk, axel oder ncftpget.