製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Wget における入力確認に関する脆弱性

タイトル	GNU Wget における入力確認に関する脆弱性
概要	GNU Wget には、入力確認に関する脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年5月6日0:00
登録日	2018年6月27日14:51
最終更新日	2018年6月27日14:51

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

GNU Project

GNU Wget 1.19.5 未満

Debian

Debian GNU/Linux

Canonical

Ubuntu

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-0494	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0494
National Vulnerability Database (NVD)
2	CVE-2018-0494	https://nvd.nist.gov/vuln/detail/CVE-2018-0494

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
bug-wget
1	[Bug-wget] [ANNOUNCEMENT] New release 1.19.5 of GNU Wget	https://lists.gnu.org/archive/html/bug-wget/2018-05/msg00020.html
Debian
2	[SECURITY] [DLA 1375-1] wget security update	https://lists.debian.org/debian-lts-announce/2018/05/msg00006.html
Debian Security Advisory
3	DSA-4195	https://www.debian.org/security/2018/dsa-4195
gnu
4	Fix cookie injection (CVE-2018-0494)	https://git.savannah.gnu.org/cgit/wget.git/commit/?id=1fc9c95ec144499e69dc8ec76dbe07799d7d82cd
Ubuntu Security Notice
5	USN-3643-1	https://usn.ubuntu.com/3643-1/
6	USN-3643-2	https://usn.ubuntu.com/3643-2/

変更履歴

No	変更内容	変更日
1	[2018年06月27日] 掲載	2018年6月27日14:51

NVD脆弱性情報

CVE-2018-0494

概要	GNU Wget before 1.19.5 is prone to a cookie injection vulnerability in the resp_new function in http.c via a \r\n sequence in a continuation line.
公表日	2018年5月7日7:29
登録日	2021年3月1日18:37
最終更新日	2024年11月21日12:38

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:gnu:wget::::::::					1.19.5

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:12.04::::esm:::
cpe:2.3:o:canonical:ubuntu_linux:17.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::

構成3	以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*
cpe:2.3:o:debian:debian_linux:7.0:::::::*
cpe:2.3:o:debian:debian_linux:9.0:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://www.securityfocus.com/bid/104129	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/104129	Third Party Advisory VDB Entry
3	http://www.securitytracker.com/id/1040838	Third Party Advisory VDB Entry
4	http://www.securitytracker.com/id/1040838	Third Party Advisory VDB Entry
5	https://access.redhat.com/errata/RHSA-2018:3052	Third Party Advisory
6	https://access.redhat.com/errata/RHSA-2018:3052	Third Party Advisory
7	https://git.savannah.gnu.org/cgit/wget.git/commit/?id=1fc9c95ec144499e69dc8ec76dbe07799d7d82cd	Third Party Advisory
8	https://git.savannah.gnu.org/cgit/wget.git/commit/?id=1fc9c95ec144499e69dc8ec76dbe07799d7d82cd	Third Party Advisory
9	https://lists.debian.org/debian-lts-announce/2018/05/msg00006.html	Mailing List Third Party Advisory
10	https://lists.debian.org/debian-lts-announce/2018/05/msg00006.html	Mailing List Third Party Advisory
11	https://lists.gnu.org/archive/html/bug-wget/2018-05/msg00020.html	Patch Third Party Advisory
12	https://lists.gnu.org/archive/html/bug-wget/2018-05/msg00020.html	Patch Third Party Advisory
13	https://savannah.gnu.org/bugs/?53763	Broken Link
14	https://savannah.gnu.org/bugs/?53763	Broken Link
15	https://security.gentoo.org/glsa/201806-01	Third Party Advisory
16	https://security.gentoo.org/glsa/201806-01	Third Party Advisory
17	https://sintonen.fi/advisories/gnu-wget-cookie-injection.txt	Exploit Third Party Advisory
18	https://sintonen.fi/advisories/gnu-wget-cookie-injection.txt	Exploit Third Party Advisory
19	https://usn.ubuntu.com/3643-1/	Third Party Advisory
20	https://usn.ubuntu.com/3643-1/	Third Party Advisory
21	https://usn.ubuntu.com/3643-2/	Third Party Advisory
22	https://usn.ubuntu.com/3643-2/	Third Party Advisory
23	https://www.debian.org/security/2018/dsa-4195	Third Party Advisory
24	https://www.debian.org/security/2018/dsa-4195	Third Party Advisory
25	https://www.exploit-db.com/exploits/44601/	Exploit Third Party Advisory VDB Entry
26	https://www.exploit-db.com/exploits/44601/	Exploit Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html