Oracle Linux 5:lftp (ELSA-2010-0585)
high Nessus 插件 ID 68077
语言:
简介
远程 Oracle Linux 主机缺少安全更新。描述
来自 Red Hat 安全公告 2010:0585:更新后的 lftp 程序包修复了一个安全问题,现可用于 Red Hat Enterprise Linux 5。
Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
LFTP 是复杂的文件传输程序,支持 FTP 和 HTTP 协议。与 Bash 类似,它具有作业控制功能,并使用 Readline 库进行输入。它具有书签和内置镜像,能够并行传输多个文件。它的设计能够保证可靠性。
已发现 lftp 信任 Content-Disposition HTTP 标头中提供的文件名。恶意 HTTP 服务器可利用此缺陷,通过发送与受害者所请求文件不同的文件,来写入或覆盖正在运行 lftp 的受害者的当前工作目录中的文件。(CVE-2010-2251)
为修正这一缺陷,已对 lftp 进行下列更改:“xfer:clobber”选项现在默认为“否”,以使 lftp 不覆盖现有文件;引入一个新选项,即“xfer:auto-rename”,默认为“否”,用于控制 lftp 是否应使用服务器建议的文件名。请参阅 lftp(1) 手册页的“设置”部分,了解关于如何更改 lftp 设置的更多详细信息。
所有 lftp 用户都应升级此更新后的程序包,其中包含用于修正此问题的向后移植的修补程序。
解决方案
更新受影响的 lftp 程序包。另见
https://oss.oracle.com/pipermail/el-errata/2010-August/001576.html
插件详情
严重性: High
ID: 68077
文件名: oraclelinux_ELSA-2010-0585.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2013/7/12
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:oracle:linux:lftp, cpe:/o:oracle:linux:5
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2010/8/2
漏洞发布日期: 2010/7/6
参考资料信息
CVE: CVE-2010-2251
BID: 43728
RHSA: 2010:0585