漏洞信息详情
LFTP MirrorJob::HandleFile 任意指令注入漏洞
- CNNVD编号:CNNVD-200704-573
- 危害等级: 高危
- CVE编号: CVE-2007-2348
- 漏洞类型: 输入验证
- 发布时间: 2007-04-27
- 威胁类型: 远程
- 更新时间: 2007-04-30
- 厂 商: alexander_v._lukyanov
- 漏洞来源: The vendor reporte...
漏洞简介
lftp的mirror --script没有正确的引用外壳元字符,存在任意指令注入漏洞。这使得用户协助式攻击者可以借助恶意的脚本,执行外壳指令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:lftp lftp 3.5.8
lftp lftp-3.5.10.tar.gz
http://www.worldlingo.com/wl/services/S1790.5/translation?wl_srclang=ru&wl_trglang=en&wl_rurl=http%3A%2F%2Flftp.yar.ru%2Fget.HTML&wl_url=http%3A%2F%2Fftp.yars.free.net%2Fpub%2Fsource%2Flftp%2Flftp-3.5.10.tar.gz
参考网址
来源: lftp.yar.ru
链接:http://lftp.yar.ru/news.HTML
来源: bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=173524
来源:issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1229
来源: BID
名称: 23736
链接:http://www.securityfocus.com/bid/23736
来源: VUPEN
名称: ADV-2007-1590
链接:http://www.frsirt.com/english/advisories/2007/1590
来源: SECUNIA
名称: 25132
链接:http://secunia.com/advisories/25132
来源: SECUNIA
名称: 25107
链接:http://secunia.com/advisories/25107
受影响实体
- Alexander_v._lukyanov Lftp:3.5.8
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论