Aviso de seguridad de Debian

fsp -- creación de usuario "ftp" no autorizada

Fecha del informe:
26 de nov de 1998
Paquetes afectados:
fsp
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-1999-1411.
Información adicional:
Hemos encontrado que el paquete fsp introduce un posible fallo de seguridad. Cuando el paquete fsp está instalado añade el usuario "ftp" sin preguntarle al administrador. Esto puede activar el FTP anónimo si utiliza el demonio de FTP estándar o wu-ftpd.

Si ha instalado fsp como demonio de FTP, y no quiere tener el FTP anónimo activado, debería borrar la cuenta "ftp". Esto puede hacerse con el comando "userdel ftp".

Fíjese en que si utiliza proftpd como el demonio de FTP esta debilidad no le afectará, ya que se requiere que se active el FTP anónimo manualmente.

Hemos arreglado esto en ftp 2.71-10. Fíjese en que si ya ha instalado fsp, actualizándose a esta versión no se borrará el usuario "ftp", lo que tendrá que hacer manualmente.

Arreglado en: