Diversos distribuidores de Linux têm publicado correções para consertar um programa amplamente utilizado para baixar páginas web, para que não possa servir a propósitos criminosos.

A Canonical e a Mandriva já publicaram avisos sobre esta vulnerabilidade, que afeta o utilitário Wget. Eles também atualizaram seus softwares para uma versão corrigida. A Red Hat ainda não consertou a falha, de acordo com o site da empresa.

Incluído na maioria das distribuições Linux, o GNU Wget é um programa que traz páginas da web e outros arquivos da Internet para o PC. Ele é uma ferramenta de linha de comando bastante utilizada e vem frequentemente dentro de scripts e programas que baixam automaticamente grandes volumes de páginas web – um recurso muito utilizado por sistemas de indexação de conteúdo. Ele também funciona com o FTP (File Transfer Protocol).

As versões 1.12 e mais antigas trazem uma vulnerabilidade que poderia ser utilizada por invasores para infiltrar código malicioso na máquina que roda o software. Como o Wget baixa um arquivo, o servidor pode fornecer um nome de arquivo que poderia ser substituído por um ponteiro a um arquivo com código executável, o que por sua vez poderia sobrescrever um arquivo existente ou ser inserido na rotina de startup.

O OpenWall Project, um grupo que tem como foco a segurança de código aberto, descobriu a vulnerabilidade no fim do ano passado, mas afirmou ter sido ignorado pelos mantenedores do Wget.

Os responsáveis pelo banco de dados CVE (Common Vulnerabilities and Exposures) estão analisando a vulnerabilidade, CVE-2010-2252, que foi classificada como de médio risco.