从这个网页截图中,可以提取以下关于漏洞的关键信息: 1. 漏洞标识与标题: - oCERT-2010-001:多个 HTTP 客户端未预期的下载文件名漏洞。 2. 时间与上下文: - 日期:2010-05-20 4:27:56。 - 发送者:Solar Designer。 - 邮件原文讨论了 Wget 和其他 HTTP 客户端在解析文件名时的潜在问题。 3. 漏洞细节: - 漏洞允许服务器通过 HTTP 响应头(如 )或 URL 参数,控制客户端下载文件的命名。这可能导致下载文件名的混乱或无预期的文件覆盖。 4. 受影响的软件与修复: - LFTP 4.0.5 和 4.0.6 版本被特别提及,且已提供修复补丁和更改说明: - 新增 标志,防止文件覆盖。 - 提高服务器提供的文件名验证。 - 引入 功能(默认关闭)。 - 漏洞测试案例:从 下载时,未修复的 LFTP 生成如 等乱序文件名,修复后的版本将遵循预期文件名。 5. 其他工具的测试结果: - 测试了多个 HTTP 下载工具: - 溏水:LFTP、lwp-download、wget 存在该问题。 - 安全:curl 和 ELinks 未受此漏洞影响。 - Lynx 在测试中结果不明。 6. 开源社区协作信息: - OCRFET 组织已重新通知相关上游维护者,推进问题解决。 - Wget 项目维护者在当时发生了变更,一定程度上影响了问题讨论的进展。