CentOS 5:lftp(CESA-2009:1278)

medium Nessus プラグイン ID 43780

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

1 つのセキュリティ問題と様々なバグを修正する更新済みの lftp パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。

LFTP は、FTP および HTTP プロトコル用の高度なファイル転送プログラムです。これには Bash と同様にジョブコントロールがあり、Readline ライブラリを入力に使用します。これにはブックマーク、内蔵ミラーリングがあり、複数のファイルを並行して転送できます。これは信頼性を念頭に設計されています。

lftp は、「mirror --script」コマンドを使用してシェルスクリプトを生成する際に、シェルのメタ文字を適切にエスケープしていないことが
判明しました。悪意のある FTP サーバーからファイルをダウンロードするために生成されたミラーリングスクリプトにより、ユーザーが lftp を実行している時に、その FTP サーバーを制御する攻撃者が任意のコマンドを実行できる可能性があります。
(CVE-2007-2348)

この更新は以下のバグも修正します:

* 「Mirror」または「get」コマンドを「-c」オプションで使用する際、lftp は特定の状態をチェックしません。これによって、プログラムの応答停止、ハングアップ、およびコマンドの未完了が生じる可能性があります。
たとえば、lftp がディレクトリリスト表示を待機しているときに、空のディレクトリであることを示す「226」メッセージを受信すると、これまでそのメッセージを無視し、引き続き待機していました。この更新により、これらの条件は適切にチェックされており、「mirror」または「get」で「-c」を使用する場合に、lftp がハングすることはありません。(BZ#422881)

* Secure FTP(SFTP)接続で「put」、「mput」または「reput」コマンドを使用する際に「-c」オプションを指定すると、不適切なサイズのファイルが破損する場合があります。この更新により、SFTP でこれらのコマンドを「-c」オプションで使用すると、想定どおりに動作し、転送されたファイルが転送プロセスで破損することはありません。
(BZ#434294)

* 以前、LFTP は OpenSSL ライブラリにリンクしていました。ただし、OpenSSL のライセンスは LFTP の GNU GPL ライセンスと互換ではなく、LFTP には OpenSSL リンクの設定を許可する例外が含まれていません。この更新により、LFTP は、GNU LGPL ライセンスでリリースされる、GnuTLS(GNU Transport Layer Security)ライブラリにリンクします。OpenSSL と同じように、GnuTLS は SSL および TLS のプロトコルを実装しているため、機能性は変わっていません。(BZ#458777)

* lftp 内から「help mirror」を実行すると、man ページに表示される完全なリストと比較して、利用可能なオプションのサブセットのみが表示されました。この更新により、lftp で「help mirror」を実行すると、lftp の man ページのコマンドセクションに記載されているのと同じミラーオプションのリストが提示されます。(BZ#461922)

* LFTP は upstream から gnu-lib をインポートします。gnu-lib が GNU GPLv2 から GNU GPLv3 に切り替わると、内部で LFTP ライセンスに矛盾が発生していました。gnu-lib のインポートにより変更が行われるため、LFTP は GNU GPLv2 としてライセンスされているものの、パッケージの一部は外見上 GNU GPLv3 としてライセンスされていました。この更新により、LFTP 自体が GNU GPLv3 に切り替わり、矛盾を解決しています。(BZ#468858)

* lftp 内で「ls」コマンドを使用し、HTTP 経由で接続されているリモートシステム上でディレクトリリストを表示すると、スペースを含むファイル名が不適切に表示されました。この更新では、この動作を修正しています。(BZ#504591)

* デフォルトのエイリアス「edit」は、デフォルトエディターを定義しませんでした。EDITOR がシステムにより事前に設定されていなかった場合、lftp は「~/.lftp/edit.tmp.$$」を試しに実行していました(そのファイルは実行可能に設定されていないために失敗していました)。さらに、編集エイリアスは、ファイル名のタブ完了をサポートしておらず、空白を含むファイル名を間違って解釈していました。
更新済みパッケージでは、システム定義の EDITOR がない場合での、デフォルトのエディター(vi)を定義しています。さらに、編集エイリアスは、タブ完了をサポートしており、ダウンロードとアップロードのどちらの場合でも、空白を含むファイル名を正しく処理しています。(BZ#504594)

注:この更新により、LFTP がバージョン 3.7.3 から、上記の問題への修正以外に多数のバグ修正も組み込まれた、Upstream バージョン 3.7.11 にアップグレードされます。これらの修正の詳細については、この更新のインストール後、「/usr/share/doc/lftp-3.7.11/NEWS」ファイルを参照してください。
(BZ#308721)

LFTP の全ユーザーは、この更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受ける lftp パッケージを更新してください。

参考資料

http://www.nessus.org/u?649f14e3

http://www.nessus.org/u?511a45e5

プラグインの詳細

深刻度: Medium

ID: 43780

ファイル名: centos_RHSA-2009-1278.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2010/1/6

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:centos:centos:lftp, cpe:/o:centos:centos:5

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

パッチ公開日: 2009/9/15

脆弱性公開日: 2007/4/27

参照情報

CVE: CVE-2007-2348

RHSA: 2009:1278