Nouvelle faille découverte dans wget :

http://www.cvedetails.com/cve/CVE-2014-4877/

1. wget --version

GNU Wget 1.13.4 compilé sur linux-gnu.

c'est grave ?

Peut-être http://www.undernews.fr/alertes-securite/cve-2014-4877-vulnerabilite-critique-wget-ftp-symlink.html

Moi je me réjouirai qu'on découvre une faille. D'un coté les utilisateurs seront plus vigilant, elle sera donc moins exploitée le temps qu'elle soit corrigée par les développeurs. C'est plutôt une bonne nouvelle. En tout cas, c'est mieux qu'on la découvre plutôt qu'elle reste dans le silence.

le correctif est pas encore sorti ?

ah non c'est bon

http://lists.gnu.org/archive/html/bug-wget/2014-10/msg00150.html

faut juste passer a wget 1.16

J'ai eu la mise à jour de Wget en version 1.14.

Il y a déjà le patch dans cette branche.

Je veux ouvrir un terminal dans i3wm, et y'a un assistant vocal qui s'ouvre on m'a piraté avec cette faille

..

..

Ah non je suis sous windows, ouf

Mais pourquoi debian stable passe pas à la version 1.14 ?

Bah t'es pas obligé de faire une mise à jour vers une version plus récente de Wget.

Parfois tu peux patcher la version actuelle avec le correctif inclus dans la version plus récente.

Debian fais souvent ça.

C'pas la faille mais l'âge qui est souvent dangereux. Par exemple Shellshock et Heatbleed étaient de trèèèès vielles failles (informatiquement parlant) et certains chanceux avaient largement eu le temps de les exploiter (si chanceux il y a).

Là, elle date de wget 1.12, soit 2010. Faut relativiser un peu parfois...

Merci pour l'info ! Mis à jour vers 1.16