DFN-CERT

Advisory-Archiv

2018-1551: LFTP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-08-07 16:25)
Neues Advisory
Version 2 (2019-03-20 11:23)
Für die SUSE Linux Enterprise Produkte Server und Desktop jeweils in Version 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates für 'lftp' bereit, welche diese Schwachstelle und einen weiteren nicht sicherheitsrelevanten Fehler beheben.
Version 3 (2019-03-28 10:56)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'lftp' bereit, welches diese Schwachstelle und einen weiteren nicht sicherheitsrelevanten Fehler behebt.
Version 4 (2019-04-03 11:35)
openSUSE veröffentlicht für openSUSE Leap 15.0 ein Sicherheitsupdate für 'lftp' zur Behebung der Schwachstelle und der Korrektur eines nicht sicherheitsrelevanten Fehlers.
Version 5 (2020-04-01 15:53)
Für die Red Hat Enterprise Linux Produkte Server, Workstation, Desktop und for Scientific Computing 7 stehen Sicherheitsupdates für 'lftp' zur Behebung der Schwachstelle bereit.
Version 6 (2020-04-14 13:08)
Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'lftp' zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in LFTP ermöglicht einem entfernten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs gegen einen Benutzer, indem er alle Dateien in dessen Arbeitsverzeichnis löscht. Für eine erfolgreiche Ausnutzung ist die Interaktion des Benutzers erforderlich.

Der Hersteller bietet die Version 4.8.4 als Sicherheitsupdate im Quellcode an.

Canonical stellt für Ubuntu 12.04 ESM ein Backport-Sicherheitsupdate von 'lftp' in der Version '4.3.3-1ubuntu0.1' bereit.

Schwachstellen:

CVE-2018-10916

Schwachstelle in LFTP ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.