近日,最新版本的Mac OSXFreeBSD系统下的ftp命令被发现存在漏洞。当使用ftp通过http协议去下载一个文件时,会导致任意命令执行。基于Mac OS X系统越来越广泛的被大众使用,提醒用户注意在漏洞修复前,不要使用ftp命令下载不可信的文件。
 
漏洞等级:
严重
 
漏洞系统:
Mac OS X
FreeBSD
 
漏洞原理:
       当用户请求一个文件时,攻击者返回HTTP 301重定位,迫使ftp命令去下载另外一个文件。新下载的文件名首个字符为“|”。下载结束后,ftp命令会将“|”当作管道符,于是将新文件名就会被当作系统命令执行。
 
相关信息:
目前官方已经给出了紧急修复方法:http://seclists.org/oss-sec/2014/q4/459
 
参考资料
http://seclists.org/oss-sec/2014/q4/459
http://seclists.org/oss-sec/2014/q4/460
http://seclists.org/oss-sec/2014/q4/464
http://cxsecurity.com/issue/WLB-2014100174