VULHUB ™

lftp是一款支持多平台，支持多模式(ftp、ftps、http、https、hftp等)的基于命令行FTP客户端。 lftp在接收到从远程HTTP服务器返回的内容时不正确处理部分目录信息，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以lftp进程权限在系统上执行任意指令。 问题存在于src/HttpDir.cc文件中的try_netscape_proxy()函数，由于lftp在使用HTTP或者HTTPS进行WEB服务器连接，并使用lftp的\"ls\"或\"rels\"命令对特殊目录进行浏览时缺少充分的边界缓冲区检查，精心构建目录数据，可导致触发缓冲区溢出，精心构建提交数据可能以lftp进程权限在系统上执行任意指令。

lftp是一款支持多平台，支持多模式(ftp、ftps、http、https、hftp等)的基于命令行FTP客户端。 lftp在接收到从远程HTTP服务器返回的内容时不正确处理部分目录信息，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以lftp进程权限在系统上执行任意指令。 问题存在于src/HttpDir.cc文件中的try_netscape_proxy()函数，由于lftp在使用HTTP或者HTTPS进行WEB服务器连接，并使用lftp的\"ls\"或\"rels\"命令对特殊目录进行浏览时缺少充分的边界缓冲区检查，精心构建目录数据，可导致触发缓冲区溢出，精心构建提交数据可能以lftp进程权限在系统上执行任意指令。