Год назад разработчики проекта OpenWall (http://www.openwall.com/) обнаружили (http://www.ocert.org/advisories/ocert-2010-001.html) опасную уязвимость в трёх популярных консольных менеджерах загрузок: wget (http://www.openwall.com/lists/oss-security/2010/05/18/13), lftp и lwp-download, которая заключается в том, что эти программы не проверяют имя файла, полученное с сервера после перенаправления (HTTP Redirect), поэтому удалённый атакующий может подменить или добавить файлы, например, в домашнюю директорию. Опасность для lftp и lftpget увеличивается в связи с тем, что утилиты по умолчанию переписывают файлы без предупреждения.

На днях эта уязвимость была исправлена (http://lftp.yar.ru/) в релизе 4.0.10 пакетов lftp и lwp-download, разработчики wget исправлять её не собираются и не считают её опасной.

URL: http://www.ocert.org/advisories/ocert-2010-001.html
Новость: http://www.opennet.me/opennews/art.shtml?num=27848

• Уязвимость локальных имён в wget, lftp и lwp-download,Экономный, 11:50 , 04-Сен-10
• Уязвимость локальных имён в wget, lftp и lwp-download,Аноним, 16:20 , 04-Сен-10
  • Уязвимость локальных имён в wget, lftp и lwp-download,Иван Иванович Иванов, 20:05 , 06-Сен-10
• Уязвимость локальных имён в wget, lftp и lwp-download,Buy, 12:15 , 05-Сен-10
  • Уязвимость локальных имён в wget, lftp и lwp-download,аноним, 03:44 , 07-Сен-10

За разработчиков могут это сделать и другие люди, на то он и opensource, это вам не adobereader знаете-ли.

http://www.ubuntu.com/usn/usn-982-1
>> In general, a standard system update will make all the necessary changes.
>> 1.12-1.1ubuntu2.1

алиасы в намеде тоже пофиксить надо. а то пытаешься попасть по одному адресу а удаленный ДНС атакуэ и перенаправляет совсем на другой...

вы уже научились ломать любой DNS сервер?

Да, в убунте пофиксили, молодцы.

Во фре тоже. Судя по коммит логу, разработчики wget включили голову и пофиксили в апстриме все-таки.