概要
遠端 Scientific Linux 主機缺少一個安全性更新。
說明
CVE-2007-2348 lftp mirror -- 指令碼並未逸出符號連結的名稱和目標
據發現,當使用「mirror--script」命令產生 shell 指令碼時,lftp 並未
正確逸出 shell 中繼字元。所產生的可從惡意 FTP 伺服器下載檔案的鏡像指令碼可允許攻擊者控制 FTP 伺服器以執行 lftp 之使用者的身分執行任意命令。
(CVE-2007-2348)
此更新也可修正下列錯誤:
- 透過 '-c' 選項使用 'mirror' 或 'get' 命令時,lftp 並未檢查是否有可導致程式變得沒有回應、懸置及命令無法完成的一些特定情形。例如,當等候目錄清單時,如果 lftp 收到代表空目錄的「226」訊息,它之前會忽略訊息並保持等候。透過此更新,會對這些情況進行適當檢查,且當搭配「mirror」或「get」使用「-c」時,lftp 不會再懸置。(BZ#422881)
- 在安全 FTP 連線 (SFTP) 上使用 'put'、'mput' 或 'reput' 命令時,指定 '-c' 選項有時會導致不正確大小的檔案損毀。
透過此更新,在 SFTP 上搭配「-c」選項使用這些命令可如預期運作,傳輸的檔案不會再於傳輸處理程序中損毀。
(BZ#434294)
- LFTP 先前會連結至 OpenSSL 程式庫。
但是,OpenSSL 的授權與 LFTP 的 GNU GPL 授權不相容,且 LFTP 不包含允許 OpenSSL 連結的例外狀況。透過此更新,LFTP 會連結至 GnuTLS (GNU 傳輸層安全) 程式庫,其在 GNU LGPL 授權之下發佈。與 OpenSSL 一樣,GnuTLS 會實作 SSL 和 TLS 通訊協定,因此功能並未變更。(BZ#458777)
- 從 lftp 內部執行 'help mirror' 時,會顯示相較於手冊頁中完整清單的可用選項子集。透過此更新,在 lftp 中執行「help mirror」代表鏡像選項的相同清單,就像在 lftp 手冊頁的〈命令〉一節中可以找到的一樣。(BZ#461922)
- LFTP 從上游匯入 gnu-lib。在 gnu-lib 從 GNU GPLv2 切換至 GNU GPLv3 之後,LFTP 授權內部已不一致,LFTP 已授權為 GNU GPLv2,但由於透過 gnu-lib 匯入進行的變更,套件的部分顯然已授權為 GNU GPLv3。透過此更新,LFTP 本身會切換至 GNU GPLv3,而解決了不一致的問題。(BZ#468858)
- 在從 lftp 內部使用 'ls' 命令以在透過 HTTP 連線的遠端系統上顯示目錄清單時,包含空格的檔案名稱並未正確顯示。此項更新修正了此行為。
(BZ#504591)
- 預設別名 'edit' 未定義預設編輯器。如果系統並未預先設定編輯器,lftp 會嘗試執行「~/.lftp/edit.tmp.$$」(它會因檔案並未設定為可執行而失敗)。編輯別名也不支援檔案名稱的 tab 補齊功能,且會錯誤解譯包含空格的檔案名稱。更新版套件定義了在缺少系統定義之「編輯器」的情況下所使用的預設編輯器 (vi)。編輯別名現在也支援 tab 補齊功能,並可在下載及上傳時正確處理包含空格的檔案名稱。(BZ#504594)
注意:此更新將 LFTP 從 3.7.3 版升級至上游版本 3.7.11,從而將一些更進一步的錯誤修正合併到以上這些注意事項中。安裝此更新後,如需有關這些修正的詳細資訊,請參閱「/usr/share/doc/lftp-3.7.11/NEWS」檔案。
(BZ#308721)
Plugin 詳細資訊
檔案名稱: sl_20090902_lftp_on_SL5_x.nasl
代理程式: unix
支援的感應器: Nessus Agent, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: x-cpe:/o:fermilab:scientific_linux
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list