Bulletin d'alerte Debian
DSA-2085-1 lftp -- Validations des entrées insuffisantes
- Date du rapport :
- 3 août 2010
- Paquets concernés :
- lftp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-2251.
- Plus de précisions :
-
On a découvert que dans LFTP, un client FTP/HTTP en ligne de commande, aucune validation correcte du nom de fichier fourni par le serveur par l'intermédiaire de l'en-tête Content-Disposition n'est réalisée. Les attaquants peuvent utiliser ce défaut en suggérant le nom d'un fichier qu'ils veulent écraser sur la machine cliente, puis exécuter éventuellement du code arbitraire (par exemple si l'attaquant choisit d'écrire un fichier caché dans un répertoire personnel).
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.7.3-1+lenny1.
Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 4.0.6-1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.0.6-1.
Nous vous recommandons de mettre à jour vos paquets lftp.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.