WinSCP 存在URL处理器访问任意文件漏洞
来源:岁月联盟
时间:2007-11-10
更新日期:2007-09-14
受影响系统:
Martin Prikryl WinSCP < 4.0.4
不受影响系统:
Martin Prikryl WinSCP 4.0.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25655
WinSCP是一款开放源代码使用SSH的SFTP和SCP客户端。
WinSCP默认安装了scp://和sftp:// 协议处理器,这可能允许恶意的web内容自动从本地系统向远程服务器上传任意文件,或自动从远程服务器下载文件。
<*来源:Kender Security (Kender.Security@gmail.com)
Woody Hughes (woody@thewoodman.org)
链接:http://secunia.com/advisories/26820/
http://marc.info/?l=bugtraq&m=118969815803874&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Martin Prikryl
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://sourceforge.net/project/shownotes.php?release_id=536729
