ここでは、FFFTPに関するセキュリティや脆弱性に関連する情報を公開しています。
FFFTP 1.98c以前に意図しない実行ファイルを実行してしまう脆弱性が確認されています(JVN#94002296)。FFFTP 1.98dではこの脆弱性を修正していますので、FFFTP 1.98c以前を利用しているユーザーは1.98d以降へのアップグレードを推奨いたします。
FFFTP 1.98c以前に、意図しない実行ファイルを実行してしまう脆弱性が存在します。
FFFTP 1.98c以前
FFFTPには、ユーザーからの操作によりローカルのディスク上にある指定したファイルを開く機能があります。このとき、指定したファイルに拡張子がない場合、意図しない実行ファイルを実行してしまう脆弱性が存在します。
たとえば、「README」というファイルをFFFTPから開こうとした場合、同じフォルダに「README.exe」など実行可能なファイルが存在した場合、READMEファイルではなく、指定したファイルと同じフォルダ内にある「README.exe」が実行されてしまうというものです。
特定の環境下でプログラムを実行している権限で任意のコードを実行される可能性があります。
この脆弱性が修正されているFFFTP 1.98d以降へのアップデートを推奨いたします。1.98d以降へのアップデートが不可能でやむを得ず1.98c以下を利用する場合、FFFTPからローカルにあるファイルを開くことは行わないようにしてください。
この情報についての詳細は「FFFTPに関するセキュリティ/脆弱性関連情報」 (http://sourceforge.jp/projects/ffftp/wiki/Security)にて公開されています。
FFFTP 1.98a以前に意図しない実行ファイルを実行してしまう脆弱性が確認されています(JVN#62336482)。FFFTP 1.98bではこの脆弱性を修正していますので、FFFTP 1.98a以前を利用しているユーザーは1.98b以降へのアップグレードを推奨いたします。
FFFTP 1.98a以前に、意図しない実行ファイルを実行してしまう脆弱性が存在します。
FFFTP 1.98a以前
FFFTPには、ユーザーからの操作によりローカルのディスク上にある指定したファイルをnotepad.exe(メモ帳)で開く機能があります。このとき、notepad.exeを実行する際の検索パスに問題があり、意図しない実行ファイルを実行してしまう脆弱性が存在します。
具体的には、指定したファイルと同じフォルダに「notepad.exe」というファイルが存在した場合、Windows標準のnotepad.exeではなく、指定したファイルと同じフォルダ内にある「notepad.exe」を実行してしまうというものです。
特定の環境下でプログラムを実行している権限で任意のコードを実行される可能性があります。
具体的には、悪意のあるユーザーにより、ユーザーに実行させたいコードを含む「notepad.exe」ファイルと任意のテキストファイルをダウンロードさせ、テキストファイルを「notepadで開く」機能で開かせることにより、悪意のあるコードを実行させることができます。
この脆弱性が修正されているFFFTP 1.98b以降へのアップデートを推奨いたします。1.98b以降へのアップデートが不可能でやむを得ず1.98a以下を利用する場合、「notepadで開く」機能は利用しないようにしてください。
この情報についての詳細は「FFFTPに関するセキュリティ/脆弱性関連情報」 (http://sourceforge.jp/projects/ffftp/wiki/Security)にて公開されています。
[PageInfo]
LastUpdate: 2011-12-09 16:41:15, ModifiedBy: hiromichi-m
[Permissions]
view:all, edit:members, delete/config:members
FFFTP
Fork
edit