Japan Computer Emergency Response Team Coordination Center

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月29日、「JPCERT/CC Alert - JVNVU#98581917: GNU Wget にシンボリックリンクの扱いに関する問題」においてソフトウェアのセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • GNU wget 1.16

セキュリティ脆弱性を抱えたバージョンのGNU wgetにはFTPの再帰的ダウンロード時におけるシンボリックリンクの処理に問題があるとされており、細工されたシンボリックリンクが用意されていると、GNU wgetを実行しているローカル側でGNU wgetの動作権限の任意のファイルを操作される危険性があるという。

GNU wgetはネットワークを経由してファイルをダウンロードする場合などに使われるコマンド。curlなどと並んでよく使われるコマンドであり、セキュリティ脆弱性を抱えたバージョンを使っている場合は早期にアップデートの実施が推奨される。