漏洞信息详情

LFTP MirrorJob::HandleFile 任意指令注入漏洞

• CNNVD编号：CNNVD-200704-573
• 危害等级： 高危
  
• CVE编号： CVE-2007-2348
• 漏洞类型： 输入验证
• 发布时间： 2007-04-27
• 威胁类型： 远程
• 更新时间： 2007-04-30
• 厂        商： alexander_v._lukyanov
• 漏洞来源： The vendor reporte...

漏洞简介

lftp的mirror --script没有正确的引用外壳元字符，存在任意指令注入漏洞。这使得用户协助式攻击者可以借助恶意的脚本，执行外壳指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：lftp lftp 3.5.8

lftp lftp-3.5.10.tar.gz

http://www.worldlingo.com/wl/services/S1790.5/translation?wl_srclang=ru&wl_trglang=en&wl_rurl=http%3A%2F%2Flftp.yar.ru%2Fget.HTML&wl_url=http%3A%2F%2Fftp.yars.free.net%2Fpub%2Fsource%2Flftp%2Flftp-3.5.10.tar.gz

参考网址

来源: lftp.yar.ru

链接:http://lftp.yar.ru/news.HTML

来源: bugs.gentoo.org

链接:http://bugs.gentoo.org/show_bug.cgi?id=173524

来源:issues.rpath.com

链接:https://issues.rpath.com/browse/RPL-1229

来源: BID

名称: 23736

链接:http://www.securityfocus.com/bid/23736

来源: VUPEN

名称: ADV-2007-1590

链接:http://www.frsirt.com/english/advisories/2007/1590

来源: SECUNIA

名称: 25132

链接:http://secunia.com/advisories/25132

来源: SECUNIA

名称: 25107

链接:http://secunia.com/advisories/25107

受影响实体

• Alexander_v._lukyanov Lftp:3.5.8  

补丁

暂无