Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 lftp

medium Nessus Plugin ID 60654

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

CVE-2007-2348 lftp mirror -- 指令碼並未逸出符號連結的名稱和目標

據發現，當使用「mirror--script」命令產生 shell 指令碼時，lftp 並未
正確逸出 shell 中繼字元。所產生的可從惡意 FTP 伺服器下載檔案的鏡像指令碼可允許攻擊者控制 FTP 伺服器以執行 lftp 之使用者的身分執行任意命令。
(CVE-2007-2348)

此更新也可修正下列錯誤：

- 透過 '-c' 選項使用 'mirror' 或 'get' 命令時，lftp 並未檢查是否有可導致程式變得沒有回應、懸置及命令無法完成的一些特定情形。例如，當等候目錄清單時，如果 lftp 收到代表空目錄的「226」訊息，它之前會忽略訊息並保持等候。透過此更新，會對這些情況進行適當檢查，且當搭配「mirror」或「get」使用「-c」時，lftp 不會再懸置。(BZ#422881)

- 在安全 FTP 連線 (SFTP) 上使用 'put'、'mput' 或 'reput' 命令時，指定 '-c' 選項有時會導致不正確大小的檔案損毀。
透過此更新，在 SFTP 上搭配「-c」選項使用這些命令可如預期運作，傳輸的檔案不會再於傳輸處理程序中損毀。
(BZ#434294)

- LFTP 先前會連結至 OpenSSL 程式庫。
但是，OpenSSL 的授權與 LFTP 的 GNU GPL 授權不相容，且 LFTP 不包含允許 OpenSSL 連結的例外狀況。透過此更新，LFTP 會連結至 GnuTLS (GNU 傳輸層安全) 程式庫，其在 GNU LGPL 授權之下發佈。與 OpenSSL 一樣，GnuTLS 會實作 SSL 和 TLS 通訊協定，因此功能並未變更。(BZ#458777)

- 從 lftp 內部執行 'help mirror' 時，會顯示相較於手冊頁中完整清單的可用選項子集。透過此更新，在 lftp 中執行「help mirror」代表鏡像選項的相同清單，就像在 lftp 手冊頁的〈命令〉一節中可以找到的一樣。(BZ#461922)

- LFTP 從上游匯入 gnu-lib。在 gnu-lib 從 GNU GPLv2 切換至 GNU GPLv3 之後，LFTP 授權內部已不一致，LFTP 已授權為 GNU GPLv2，但由於透過 gnu-lib 匯入進行的變更，套件的部分顯然已授權為 GNU GPLv3。透過此更新，LFTP 本身會切換至 GNU GPLv3，而解決了不一致的問題。(BZ#468858)

- 在從 lftp 內部使用 'ls' 命令以在透過 HTTP 連線的遠端系統上顯示目錄清單時，包含空格的檔案名稱並未正確顯示。此項更新修正了此行為。
(BZ#504591)

- 預設別名 'edit' 未定義預設編輯器。如果系統並未預先設定編輯器，lftp 會嘗試執行「~/.lftp/edit.tmp.$$」(它會因檔案並未設定為可執行而失敗)。編輯別名也不支援檔案名稱的 tab 補齊功能，且會錯誤解譯包含空格的檔案名稱。更新版套件定義了在缺少系統定義之「編輯器」的情況下所使用的預設編輯器 (vi)。編輯別名現在也支援 tab 補齊功能，並可在下載及上傳時正確處理包含空格的檔案名稱。(BZ#504594)

注意：此更新將 LFTP 從 3.7.3 版升級至上游版本 3.7.11，從而將一些更進一步的錯誤修正合併到以上這些注意事項中。安裝此更新後，如需有關這些修正的詳細資訊，請參閱「/usr/share/doc/lftp-3.7.11/NEWS」檔案。
(BZ#308721)