Vendor Status Note JVNCIAC-O-042

lftp にバッファオーバーフローの脆弱性

FTP と HTTP プロトコルをサポートしているコマンドライン型ファイル転送プログラムである lftp バージョン 2.6.9 およびそれ以前には、バッファオーバーフローの脆弱性があります。

遠隔から第三者が lftp クライアントを実行しているユーザの権限を取得する可能性があります。

ベンダリンク更新日

Debian Debian Security Advisory DSA-406
lftp -- buffer overflow

LFTP lftp news

Red Hat Red Hat Security Advisory RHSA-2003:403
Updated lftp packages fix security vulnerability

Red Hat Linux セキュリティアドバイス RHSA-2003:404
セキュリティ脆弱性を修正したlftpのアップデートパッケージ

Turbolinux Japan Turbolinux Security Advisory TLSA-2004-2
ls コマンドにバッファオーバーの弱点

Vine Linux lftp にセキュリティホール

参考情報

ISS X-Force Database: lftp-http-bo(13991)
lftp HTTP ls or rels command buffer overflow

JPCERT 緊急報告
JPCERT REPORT	JPCERT-WR-2003-5101 ( 2003-12-25 ) JPCERT-WR-2004-0101 ( 2004-01-07 ) JPCERT-WR-2004-0401 ( 2004-01-28 )
CIAC Bulletin	O-042 Red Hat 'lftp' Buffer Overflow Vulnerability ( 2003-12-16 )
CVE	2003-0963 [CVE+] XF13991
PGP署名	JVNCIAC-O-042.html.sig

登録日	7:40 2003/12/24
更新日	8:47 2004/01/27