5.6.3. シェルおよびコマンドラインツール

curl の Metalink サポートが無効になりました。

Metalink を使用してダウンロードされたコンテンツのクレデンシャルとファイルハッシュの不一致を処理する方法で、curl 機能に欠陥が見つかりました。この欠陥により、悪意のある攻撃者がホスティングサーバーを制御して次のことが可能になります。

  • ユーザーをだまして悪意のあるコンテンツをダウンロードさせる
  • ユーザーの知らないうちに、提供された認証情報への不正アクセスを取得する

この脆弱性による最大の脅威は、機密性と完全性です。これを回避するために、curl の Metalink サポートは Red Hat Enterprise Linux 8.2.0.z から無効になっています。

回避策として、Metalink ファイルをダウンロードした後、次のコマンドを実行します。

wget --trust-server-names --input-metalink`

以下に例を示します。

wget --trust-server-names --input-metalink <(curl -s $URL)

(BZ#1999620)