Debian-Sicherheitsankündigung

fsp -- Erzeugt unberechtigt den Benutzer »ftp«

Datum des Berichts:
26. Nov 1998
Betroffene Pakete:
fsp
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-1999-1411.
Weitere Informationen:

Wir haben herausgefunden, dass das fsp-Paket einen mögliche Sicherheitsschwäche enthält. Wenn das fsp-Paket installiert wird, fügt es den Benutzer »ftp« hinzu, ohne den Administrator danach zu fragen. Dies kann anonymen FTP erlauben, falls Sie den Standard-FTP-Daemon oder »wu-ftpd« einsetzen.

Falls Sie fsp und einen FTP-Daemon installiert haben, und keinen anonymen FTP-Zugang aktiviert haben wollen, sollten Sie das Benutzerkonto von »ftp« entfernen. Dies kann mit dem Befehl »userdel ftp« erreicht werden.

Bitte beachten Sie, dass Sie, falls Sie »proftpd« als FTP-Daemon einsetzen, von dieser Schwachstelle nicht betroffen sind, da dort der anonyme FTP-Zugang manuell aktiviert werden muss.

Wir haben dieses Problem in fsp Version 2.71-10 behoben. Bitte beachten Sie, dass eine Aktualisierung auf diese Version den Benutzer »ftp« nicht entfernt. Falls Sie das Paket bereits installiert haben, müssen Sie dies manuell erledigen.

Behoben in: