今天大宝seo博客和朋友们分享一下关于wget命令可能会因文件系统扩展属性而泄露用户密码（CVE-2018-20483）的内容，这篇内容转载自百度安全指数平台在2019年1月4日所发布的内容，正文部分如下：

　　所有在应用中使用了wget的程序员可能都要在疯狂购物的假期中修复自己的应用。

　　GNU wget是一个免费且适用于多平台的软件包，它可以通过http、https、ftp和ftps等一系列全球范围内都广泛使用的协议来检索文件。它是一个非交互式命令行工具，因此可以很容易地通过脚本、定时任务等调用它。GNU wget具有许多特性，可以在web网站或者FTP站点轻松检索大型文件和镜像。

　　该漏洞被标记为CVE-2018-20483，计算机本地用户可通过读取文件系统扩展属性来获取敏感信息（例如，URL中所包含的登录凭证）。

　　安全研究员Gynvael Coldwind（@voltagex）发现被存储的文件系统扩展属性中包括了用户名和密码。

　　TIL from @q3k and @marcan42:wget会将下载文件的源URL（有时是引用）保存在扩展属性中，而这其中就存在URL中有用户名/密码的情况。

　　$ getfattr -d -m – test

　　user.xdg.origin.url=”https://user:passwd@gynvael.coldwind.pl/”

　　— Gynvael Coldwind (@gynvael) December 25, 2018

　　安全研究员Hanno B?ck强调，URL中有时会包含外部服务的“登录令牌”。任何计算机用户都可以使用getfattr命令在计算机上访问到这些属性。

　　“下载文件的URL会作为文件系统扩展属性的一部分存储到本地。”B?ck写道。

　　“通过运行getfattr -d [filename]，您可以在Linux系统上看到这些属性（下载文件的URL存储在变量“user.xdg.origin.url”中）”

　　“这种方法也适用于user.xdg.referer.url变量存储的引用信息。根据Wget的更新日志中2016-07-22的记录，user.xdg.origin.url的值部分是由于curl中tool_xattr.c中fwrite_xattr的行为决定的。”

　　该问题也已向Chrome报告，并将很快得到解决。

　　根据Wget开发人员Tim Rühsen的说法，该程序在1.20.1版本中已默认禁用xattrs。

　　安全专家Hector Martin指出，一个想窃取含有敏感信息的URL的攻击者可以把含有文件系统扩展属性的文件用USB偷走。

　　这个漏洞可能会泄露敏感信息，甚至是认证证书。

　　同样，Chrome也可被这样利用。这些敏感文件可通过“mv”命令移动到别处。

　　— Hector Martin (@marcan42) December 25, 2018

　　以上也提醒我们，时刻保持软件处于最新版，可有效避免很多安全问题。

　　原文链接地址：https://bsi.baidu.com/article/detail/122