Опасная уязвимость в GNU Wget2 позволяет удалённо перезаписывать файлы

Опасная уязвимость в GNU Wget2 позволяет удалённо перезаписывать файлы

Опасная уязвимость в GNU Wget2 позволяет удалённо перезаписывать файлы

В популярном консольном загрузчике GNU Wget2 обнаружили серьёзную уязвимость, которая позволяет злоумышленникам перезаписывать файлы на компьютере жертвы — без её ведома и согласия. Проблема получила идентификатор CVE-2025-69194 и высокую степень риска — 8,8 балла по CVSS, то есть игнорировать её точно не стоит.

Брешь связана с обработкой Metalink-файлов — это специальные документы, в которых описано сразу несколько источников для скачивания одного и того же файла (зеркала, P2P и так далее).

По идее, Wget2 должен строго контролировать, куда именно сохраняются загружаемые данные. Но, как выяснили исследователи из Apache, на практике с этим есть проблемы.

Из-за ошибки в проверке путей злоумышленник может подготовить вредоносный Metalink-файл с «хитрыми» именами вроде ../. Это классическая уязвимость path traversal: она позволяет выйти за пределы рабочего каталога и записать файл практически в любое место в системе. Достаточно, чтобы пользователь просто обработал такой металинк — и дальше всё происходит без его участия.

Последствия могут быть весьма неприятными. В худшем случае атакующий сможет:

  • перезаписать важные системные или пользовательские файлы и вызвать потерю данных;
  • подменить конфигурации или скрипты и добиться выполнения вредоносного кода;
  • изменить настройки безопасности или файлы аутентификации, создав себе бэкдор.

Да, атака требует взаимодействия с вредоносным файлом, но с учётом последствий риск выглядит более чем реальным — особенно для тех, кто регулярно использует Wget2 в автоматизированных сценариях или CI/CD-пайплайнах.

Если вы работаете с Wget2 и Metalink, сейчас самое время внимательно отнестись к источникам загрузки и следить за выходом обновлений. В этой истории один неосторожный файл может стоить слишком дорого.

Переход школ на отечественный офис тормозят учебники и старые компьютеры

Российские школы постепенно переходят на отечественное офисное ПО, но тормозит процесс вовсе не качество программ. Главным препятствием неожиданно оказались учебники. Эту тему обсудили 29 июня на рабочем совещании в Госдуме, посвященном импортозамещению офисного ПО в образовании.

Во встрече приняли участие представители федеральных ведомств, регионов, АРПП «Отечественный софт» и российских разработчиков.

По данным ежегодного исследования АРПП, уже около 30% регионов используют российские офисные пакеты при проведении ОГЭ и ЕГЭ по информатике. Одновременно доля Microsoft Office в школах за год сократилась почти на 40%, его заменяют отечественные решения или LibreOffice.

Однако, как отметила глава комитета по цифровизации образования АРПП Анастасия Горелова, переход остается скорее техническим, чем методическим.

«Сегодня все учебники и пособия по информатике по-прежнему ориентированы на Microsoft Office. Чтобы переход стал реальным, необходимо обновить учебные программы и методические материалы», — подчеркнула она.

О своих разработках рассказали представители «МойОфис» и Р7, заявившие о высокой совместимости с форматами DOCX, XLSX и PPTX, а также о поддержке российских операционных систем и бесплатной помощи регионам.

Но на местах хватает и практических проблем. В Псковской области до 25% компьютеров не способны нормально работать с новым ПО, а также возникают сложности с электронной подписью в Linux. В Удмуртии к 1 сентября рассчитывают перевести на российский софт около 30% учебных классов, однако главным препятствием остается устаревшая техника. В Калининградской области российское ПО все чаще используют на экзаменах, но образовательные стандарты пока по-прежнему ориентированы на зарубежные продукты.

Еще одна неожиданная проблема — рынок труда. Участники встречи обратили внимание, что в вакансиях крупных госкомпаний до сих пор почти всегда требуют знание Microsoft Office, тогда как владение российскими аналогами зачастую вообще не учитывается.

По итогам совещания участники предложили Минпросвещения синхронизировать выпуск новых учебников с внедрением отечественного ПО, а Минцифры — создать рабочую группу по вопросам совместимости российских операционных систем и офисных пакетов, а также проработать облегченные версии программ для старых компьютеров.

RSS: Новости на портале Anti-Malware.ru