Bulletin d'alerte Debian

fsp -- Création non autorisée de l'utilisateur ftp

Date du rapport :
26 novembre 1998
Paquets concernés :
fsp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-1999-1411.
Plus de précisions :
Nous avons trouvé que le paquet fsp introduit un possible défaut de sécurité. Lorsque le paquet fsp est installé, il ajoute l'utilisateur ftp sans en avertir l'administrateur. Ceci autorise le FTP anonyme si vous utilisez le démon standard FTP ou wu-ftpd.

Si vous avez installé fsp et un démon FTP et que vous ne désirez pas autoriser le FTP anonyme, vous devez effacer le compte ftp. Cela peut être effectué avec la commande userdel ftp.

Veuillez noter que si vous utilisez proftpd en tant que démon FTP ce défaut ne vous affectera aucunement puisqu'il requiert votre intervention manuelle pour autoriser le FTP anonyme.

Nous avons réparé cela dans fsp 2.71-10. Veuillez noter que si vous avez déjà installé fsp, mettez à jour avec cette version ne supprimera pas l'utilisateur ftp, vous devrez le faire manuellement.

Corrigé dans :