Populäres Linux-Tool

Lücke: wget akzeptiert gefälschte SSL-Zertifikate

Über eine Schwachstelle in wget besteht die Chance, das sich SSL-Zertifikate für beliebige Domänen fälschen lassen. Ein Workaround beseitigt den Mangel.

Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Schwachstelle in allen aktuellen Versionen (1.x) von wget auf. Das Tool ist vor allem in Linux Umgebungen verbreitet und wird zum schnellen Download von Dateien/Webseiten per URL genutzt. Angreifer, die beispielsweise über eine Man-in-the-Middle Attacke agieren, können durch das Einfügen des Nullzeichens „\0“ in SSL-Zertifikate die Lücke ausnutzen und ein gültiges Zertifikat emulieren. Die Sicherheitslücke wurde bereits im Repository von wget geschlossen. Alle gängigen Linux Distributionen werden in den nächsten Tagen entsprechende Update bereitstellen. (vgw)