当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

tnftp ftp客户端任意命令执行漏洞(CVE-2014-8517)

     发表日期:2014-11-05 15:07:32

tnftp ftp客户端任意命令执行漏洞(CVE-2014-8517)

CVE-ID:CVE-2014-8517

受影响系统:

NetBSD tnftp

详细信息:

 

tnftp是广泛使用的NetBSD FTP客户端。

 

 

 

tnftp存在安全漏洞导致攻击者可以执行任意命令。此漏洞影响多个版本Linux(Fedora, Debian, NetBSD, FreeBSD, OpenBSD)及Apple Yosemite 10.10。

 

 

 

受害者使用"ftp http://server/path/file.txt" 命令,而没有使用"-o"参数来指定输出文件时,恶意服务器可以通过tnftp来执行任意命令。

 

 

来源:

Jared Mcneill

解决办法:

厂商补丁:

 

NetBSD

------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

 

 

http://ftp.netbsd.org/pub/pkgsrc/current/pkgsrc/net/tnftp/README.html

 

 

 

参考:

 

http://seclists.org/oss-sec/2014/q4/459

 

http://seclists.org/oss-sec/2014/q4/459

 

http://seclists.org/oss-sec/2014/q4/460

 

http://netbsd.org/