5.6.3. シェルおよびコマンドラインツール

メタリンクのcurlのサポートが無効になりました。

curlの機能に、メタリンクを使ってダウンロードしたコンテンツの認証情報やファイルのハッシュの不一致を処理する方法に欠陥がありました。この欠陥により、ホスティングサーバーをコントロールする悪意のある行為者が

  • ユーザーを騙して悪質なコンテンツをダウンロードさせる
  • ユーザーが知らないうちに、提供された認証情報に不正にアクセスすること

この脆弱性による最も高い脅威は、機密性と完全性です。これを避けるために、Red Hat Enterprise Linux 8.2.0.z から curl の Metalink サポートが無効になっています。

回避策としては、Metalinkファイルのダウンロードが完了した後に、以下のコマンドを実行してください。

wget --trust-server-names --input-metalink`

例:

wget --trust-server-names --input-metalink <(curl -s $URL)

(BZ#1999620)