lftp-4.4.8-12.el7

エラータID: AXSA:2020-4561:02

リリース日: 
2020/04/02 Thursday - 07:56
題名: 
lftp-4.4.8-12.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- lftp は、リモートのファイル名を適切にサニタイズしておらず、リバースミラーリングが
使用されている場合、ローカルのファイルシステムとの完全性が失われます。リモートの
攻撃者が制御する FTP サーバとリバースミラーリングするように誘導することにより、
カレントワーキングディレクトリでのすべてのファイルの削除につながる脆弱性があります。
(CVE-2018-10916)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-10916
It has been discovered that lftp up to and including version 4.8.3 does not properly sanitize remote file names, leading to a loss of integrity on the local system when reverse mirroring is used. A remote attacker may trick a user to use reverse mirroring on an attacker controlled FTP server, resulting in the removal of all files in the current working directory of the victim's system.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. lftp-4.4.8-12.el7.src.rpm
    MD5: ab9f9ecc67a764c3ad63d9356e550fbf
    SHA-256: a08b2c4908cba10bf7c7ab882655b9f6e6ccabe40e53d0b86803233b40b62e4f
    Size: 1.41 MB

Asianux Server 7 for x86_64
  1. lftp-4.4.8-12.el7.x86_64.rpm
    MD5: 3ad2058649ae4399b40bbca84315d509
    SHA-256: b9fd0d2768fb8c8fb9fc005ecd51ccc547de1e00fe642c3888fa467e3038b294
    Size: 750.73 kB
  2. lftp-4.4.8-12.el7.i686.rpm
    MD5: 34951b0aad703f63bbcfa8e2daa284c5
    SHA-256: 18baecf492efbde15bd6f894129ce964f5ee86eeb6398479290a1323608f7b34
    Size: 763.04 kB