Scientific Linux 安全更新:针对 SL 5 的 lftp
high Nessus 插件 ID 60827
语言:
简介
远程 Scientific Linux 主机缺少安全更新。描述
LFTP 是复杂的文件传输程序,支持 FTP 和 HTTP 协议。与 Bash 类似,它具有作业控制功能,并使用 Readline 库进行输入。它具有书签和内置镜像,能够并行传输多个文件。它的设计能够保证可靠性。已发现 lftp 信任 Content-Disposition HTTP 标头中提供的文件名。恶意 HTTP 服务器可利用此缺陷,通过发送与受害者所请求文件不同的文件,来写入或覆盖正在运行 lftp 的受害者的当前工作目录中的文件。(CVE-2010-2251)
为修正这一缺陷,已对 lftp 进行下列更改:“xfer:clobber”选项现在默认为“否”,以使 lftp 不覆盖现有文件;引入一个新选项,即“xfer:auto-rename”,默认为“否”,用于控制 lftp 是否应使用服务器建议的文件名。请参阅 lftp(1) 手册页的“设置”部分,了解关于如何更改 lftp 设置的更多详细信息。
所有 lftp 用户都应升级此更新后的程序包,其中包含用于修正此问题的向后移植的修补程序。
解决方案
更新受影响的 lftp 程序包。另见
插件详情
严重性: High
ID: 60827
文件名: sl_20100802_lftp_for_SL_5.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2012/8/1
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2010/8/2
参考资料信息
CVE: CVE-2010-2251