FFFTP 1.98c以前に意図しない実行ファイルを実行してしまう脆弱性が確認されています(JVN#94002296)。FFFTP 1.98dではこの脆弱性を修正していますので、FFFTP 1.98c以前を利用しているユーザーは1.98d以降へのアップグレードを推奨いたします。
FFFTP 1.98c以前に、意図しない実行ファイルを実行してしまう脆弱性が存在します。
FFFTP 1.98c以前
FFFTPには、ユーザーからの操作によりローカルのディスク上にある指定したファイルを開く機能があります。このとき、指定したファイルに拡張子がない場合、意図しない実行ファイルを実行してしまう脆弱性が存在します。
たとえば、「README」というファイルをFFFTPから開こうとした場合、同じフォルダに「README.exe」など実行可能なファイルが存在した場合、READMEファイルではなく、指定したファイルと同じフォルダ内にある「README.exe」が実行されてしまうというものです。
特定の環境下でプログラムを実行している権限で任意のコードを実行される可能性があります。
この脆弱性が修正されているFFFTP 1.98d以降へのアップデートを推奨いたします。1.98d以降へのアップデートが不可能でやむを得ず1.98c以下を利用する場合、FFFTPからローカルにあるファイルを開くことは行わないようにしてください。
この情報についての詳細は「FFFTPに関するセキュリティ/脆弱性関連情報」 (http://sourceforge.jp/projects/ffftp/wiki/Security)にて公開されています。
[ページ情報]
更新日時: 2011-12-09 16:41:24, 更新者: hiromichi-m
[権限]
表示:無制限, 編集:メンバー, 削除/設定:メンバー
FFFTP
Fork
編集