Säkerhetsbulletin från Debian
DSA-2085-1 lftp -- kontrollerar inte indata
- Rapporterat den:
- 2010-08-03
- Berörda paket:
- lftp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2010-2251.
- Ytterligare information:
-
Det upptäcktes att lftp, en kommandoradsklient för HTTP/FTP, inte innehåller någon korrekt kontroll av det filnamn som tillhandahålls servern med huvudet Content-Disposition; angripare kan använda denna brist genom att föreslå ett filnamn de vill skriva över på klientmaskinen och sedan möjligen exekvera godtycklig kod (till exempel om angripare väljer att skriva över en punktfil i en hemkatalog).
För den stabila utgåvan (Lenny) har detta problem rättats i version 3.7.3-1+lenny1.
För uttestningsutgåvan (Squeeze) har detta problem rättats i version 4.0.6-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 4.0.6-1.
Vi rekommenderar att ni uppgraderar era lftp-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/lftp/lftp_3.7.3-1+lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.