「FFFTP」における実行ファイル読み込みに関する脆弱性(JVN#94002296)
- RIS会員の皆様へ -
いつもお世話になっております。こちらはリウコム・インターネット・サービスです。平素よりRISサービスをご利用いただき、 誠にありがとうございます。
JVN(*1)より「FFFTP における実行ファイル読み込みに関する脆弱性(JVN#94002296)」が掲載されてましたので、皆様にご案内させていただきます。
(*1)JVNとは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報ポータルサイトです。
概要
「FFFTP」は、ホームページのコンテンツファイルをアップロードするとき等に使うFTP クライアントです。「FFFTP」には、ファイルの読み込み処理に問題があり、実行ファイルなどの意図しないファイルを読み込んでしまう脆弱性が存在します。悪用されると、プログラムを実行している権限で任意のコードを実行される可能性があります。なお、本脆弱性は JVN#62336482 とは異なる問題です。
詳細は、下記のホームページをご覧ください。
- JVN「FFFTP における実行ファイル読み込みに関する脆弱性(JVN#94002296)」
- 開発元 SourceForge.JP FFFTPプロジェクト「FFFTPに関するセキュリティ/脆弱性関連情報」
対象
FFFTP Version 1.98c およびそれ以前
対策
開発者(FFFTP Project)が提供する情報をもとに最新版へアップデートしてください。
なお、本脆弱性は FFFTP Version 1.98d以降で修正されています。
※詳細は、開発元 SourceForge.JP FFFTPプロジェクト「FFFTPに関するセキュリティ/脆弱性関連情報」をご覧ください
関連する情報
- オンラインマニュアル「FFFTP(Windows用FTPソフト)の設定/操作方法」
- 「FFFTP」を利用しているウェブ管理者様への注意喚起 (Gumblarウイルス対策)
- ホームページ改ざん(Gumblar等)に関する注意喚起
その他
FFFTPはSota氏(http://www2.biglobe.ne.jp/~sota/)が開発を続けられていたフリーソフトウェアですが、2011年8月31日、Sota氏によりFFFTPの開発終了宣言が出されました。しかし、FFFTP Project(http://sourceforge.jp/projects/ffftp/)によって引き継いで、開発・バージョンアップを行うこととなったようです。
FFFTPご利用のお客様は、新しいバージョンやセキュリティ/脆弱性情報などがないかFFFTP Projectのホームページもご確認いただきます様、よろしくお願い致します。
リンク: 「2011年10月12日:FFFTP 1.98リリース」の記事中に、FFFTP Projectにて引き継ぎ開発・バージョンアップを行う旨が記載されております。
