受影响系统:
Alexander V. Lukyanov lftp <= 4.0.5
不受影响系统:
Alexander V. Lukyanov lftp 4.0.6
描述:
lftp是一款支持多平台,支持多模式(ftp、ftps、http、https、hftp等)的基于命令行FTP客户端。
lftp中所使用的get1命令在判断下载的目标文件名时没有正确地验证服务器端所提供的文件名,远程服务器可以通过Content-Disposition头提供特制的文件名,诱骗用户将恶意文件下载到本机上。
<*来源:Solar Designer (solar@openwall.com)
Hank Leininger
链接:http://secunia.com/advisories/39861/
http://bugzilla.maptools.org/show_bug.cgi?format=multiple&id=2210
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=602836
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=591580
*>
建议:
厂商补丁:
Alexander V. Lukyanov
———————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。