検出

Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の lftp

medium Nessus プラグイン ID 60654

Language:

概要

リモート Scientific Linux ホストに、セキュリティ更新がありません。

説明

CVE-2007-2348 lftp ミラー --スクリプトがシンボリックリンクの名前とターゲットをエスケープしません

lftp は、「mirror --script」コマンドを使用してシェルスクリプトを生成する際に、シェルのメタ文字を適切にエスケープしていないことが
判明しました。悪意のある FTP サーバーからファイルをダウンロードするために生成されたミラーリングスクリプトにより、ユーザーが lftp を実行している時に、その FTP サーバーを制御する攻撃者が任意のコマンドを実行できる可能性があります。
(CVE-2007-2348)

この更新は以下のバグも修正します:

-「Mirror」あるいは「get」コマンドを「-c」オプションで使用する際、lftp は特定の状態をチェックしないため、プログラムが応答しない、ハングを起こす、コマンドが完了しないなどの問題が生じる可能性があります。たとえば、lftp がディレクトリリスト表示を待機しているときに、空のディレクトリであることを示す「226」メッセージを受信すると、これまでそのメッセージを無視し、引き続き待機していました。この更新により、これらの条件は適切にチェックされており、「mirror」または「get」で「-c」を使用する場合に、lftp がハングすることはありません。(BZ#422881)

- Secure FTP(SFTP)接続にて「put」、「mput」あるいは「reput」のコマンドを使用する際、「-c」オプションを指定することにより不適切なサイズのファイル破損を引き起こす可能性があります。
 この更新により、SFTP でこれらのコマンドを「-c」オプションで使用すると、想定どおりに動作し、転送されたファイルが転送プロセスで破損することはありません。
 (BZ#434294)

- 以前、LFTP は OpenSSL ライブラリにリンクされていました。
 ただし、OpenSSL のライセンスは LFTP の GNU GPL ライセンスと互換ではなく、LFTP には OpenSSL リンクの設定を許可する例外が含まれていません。この更新により、LFTP は、GNU LGPL ライセンスでリリースされる、GnuTLS(GNU Transport Layer Security)ライブラリにリンクします。OpenSSL と同じように、GnuTLS は SSL および TLS のプロトコルを実装しているため、機能性は変わっていません。(BZ#458777)

- lftp からの「help mirror」の実行は、man ページに表示されている完全なリストと比較して、利用可能なオプションのサブセットのみを表示していました。この更新により、lftp で「help mirror」を実行すると、lftp の man ページのコマンドセクションに記載されているのと同じミラーオプションのリストが提示されます。(BZ#461922)

- LFTP は upstream から gnu-lib をインポートします。gnu-lib が GNU GPLv2 から GNU GPLv3 に切り替わると、内部で LFTP ライセンスに矛盾が発生していました。gnu-lib のインポートにより変更が行われるため、LFTP は GNU GPLv2 としてライセンスされているものの、パッケージの一部は外見上 GNU GPLv3 としてライセンスされていました。この更新により、LFTP 自体が GNU GPLv3 に切り替わり、矛盾を解決しています。(BZ#468858)

- 「ls」コマンドが lftp で使用され、HTTP を通じて接続されているリモートシステム上でディレクトリリスト表示が表示される際、スペースを含むファイル名が不適切に表示されていました。この更新では、この動作を修正しています。
 (BZ#504591)

- デフォルトのエイリアスである「edit」はデフォルトエディターを定義しませんでした。EDITOR がシステムにより事前に設定されていなかった場合、lftp は「~/.lftp/edit.tmp.$$」を試しに実行していました(そのファイルは実行可能に設定されていないために失敗していました)。さらに、編集エイリアスは、ファイル名のタブ完了をサポートしておらず、空白を含むファイル名を間違って解釈していました。更新済みパッケージでは、システム定義の EDITOR がない場合での、デフォルトのエディター(vi)を定義しています。さらに、編集エイリアスは、タブ完了をサポートしており、ダウンロードとアップロードのどちらの場合でも、空白を含むファイル名を正しく処理しています。(BZ#504594)

注:この更新により、LFTP がバージョン 3.7.3 から、上記の問題への修正以外に多数のバグ修正も組み込まれた、Upstream バージョン 3.7.11 にアップグレードされます。これらの修正の詳細については、この更新のインストール後、「/usr/share/doc/lftp-3.7.11/NEWS」ファイルを参照してください。
(BZ#308721)

ソリューション

影響を受ける lftp パッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=308721

https://bugzilla.redhat.com/show_bug.cgi?id=422881

https://bugzilla.redhat.com/show_bug.cgi?id=434294

https://bugzilla.redhat.com/show_bug.cgi?id=458777

https://bugzilla.redhat.com/show_bug.cgi?id=461922

https://bugzilla.redhat.com/show_bug.cgi?id=468858

https://bugzilla.redhat.com/show_bug.cgi?id=504591

https://bugzilla.redhat.com/show_bug.cgi?id=504594

http://www.nessus.org/u?d5d0cc86

プラグインの詳細

深刻度: Medium

ID: 60654

ファイル名: sl_20090902_lftp_on_SL5_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2009/9/2

脆弱性公開日: 2007/4/27

参照情報

CVE: CVE-2007-2348