[sisyphus] I: wget-1.13.4 (изменение поведения из-за CVE)

Michael Shigorin mike на osdn.org.ua
Пн Сен 26 09:13:44 UTC 2011


On Sun, Sep 25, 2011 at 10:04:06PM +0300, I wrote:
> В сизиф отправлен после проверки, оказавшейся IMHO недостаточной,
> wget-1.13.4-alt1.  Замеченная уже только что проблема -- с именем
> файла, загружаемого по редиректу: например, по этой ссылке оно
> получается "download" вместо "pdsh-2.26.tar.bz2", как с 1.12:

К слову о характеристиках хорошего майнтейнера:
может без помощи апстрима заметить в документации:

from the NEWS file (wget 1.13.3):

** By default, on server redirects, use the original URL to get the
   local file name. Close CVE-2010-2252.  This introduces a
   backward-incompatibility; any script that relies on the old
   behaviour must use --trust-server-names.

См. тж. https://bugzilla.redhat.com/show_bug.cgi?id=602797

-- 
...Vulnerability discovered and reported
by Hank Leininger and Solar Designer...


Подробная информация о списке рассылки Sisyphus