「FFFTP」における実行ファイル読み込みに関する脆弱性(JVN#62336482)
- RIS会員の皆様へ -
いつもお世話になっております。こちらはリウコム・インターネット・サービスです。平素よりRISサービスをご利用いただき、 誠にありがとうございます。
JVN(*1)より「FFFTP における実行ファイル読み込みに関する脆弱性(JVN#62336482)」が掲載されてましたので、皆様にご案内させていただきます。
(*1)JVNとは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報ポータルサイトです。
概要
「FFFTP」は、ホームページのコンテンツファイルをアップロードするとき等に使うFTP クライアントです。「FFFTP」には、実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在します。悪用されると、プログラムを実行している権限で任意のコードを実行される可能性があります。
詳細は、下記のホームページをご覧ください。
- JVN「FFFTP における実行ファイル読み込みに関する脆弱性」
- 開発元 SourceForge.JP FFFTPプロジェクト「FFFTPに関するセキュリティ/脆弱性関連情報」の「FFFTP 1.98a以前に存在する脆弱性について(2011年10月28日)」の記事
対象
FFFTP Version 1.98a およびそれ以前
対策
開発者(FFFTP Project)が提供する情報をもとに最新版へアップデートしてください。
なお、本脆弱性は FFFTP Version 1.98b以降で修正されています。
※詳細は、開発元 SourceForge.JP FFFTPプロジェクト「FFFTPに関するセキュリティ/脆弱性関連情報」の「FFFTP 1.98a以前に存在する脆弱性について(2011年10月28日)」の記事をご覧ください
関連する情報
- オンラインマニュアル「FFFTP(Windows用FTPソフト)の設定/操作方法」
- 「FFFTP」を利用しているウェブ管理者様への注意喚起 (Gumblarウイルス対策)
- ホームページ改ざん(Gumblar等)に関する注意喚起
その他
FFFTPはSota氏(http://www2.biglobe.ne.jp/~sota/)が開発を続けられていたフリーソフトウェアですが、2011年8月31日、Sota氏によりFFFTPの開発終了宣言が出されました。しかし、FFFTP Project(http://sourceforge.jp/projects/ffftp/)によって引き継いで、開発・バージョンアップを行うこととなったようです。
FFFTPご利用のお客様は、新しいバージョンやセキュリティ/脆弱性情報などがないかFFFTP Projectのホームページもご確認いただきます様、よろしくお願い致します。
リンク: 「2011年10月12日:FFFTP 1.98リリース」の記事中に、FFFTP Projectにて引き継ぎ開発・バージョンアップを行う旨が記載されております。
