Спуфинг-атака в LFTP

Дата публикации:
13.01.2015
Дата изменения:
13.01.2015
Всего просмотров:
546
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:5/Temporal:4.3
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
LFTP 4.x
Уязвимые версии:
LFTP 4.6.0, возможно, другие версии

Описание:

Уязвимость позволяет удаленному пользователю осуществить спуфинг-атаку.

Уязвимость существует из-за ошибки, вследствие которой приложение некорректно верифицирует аутентичность хоста при использовании протокола SFTP. Удаленный пользователь может проспуфить удаленный хост и осуществить атаку "человек посередине".


URL производителя: http://lftp.yar.ru/

Решение: В настоящее время исправление не выпущено.

Ссылки: https://github.com/lavv17/lftp/issues/116
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=774769