Debian セキュリティ勧告

fsp -- 不当なユーザ"ftp"の登録

報告日時:
1998-11-26
影響を受けるパッケージ:
fsp
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-1999-1411.
詳細:
fspパッケージにセキュリティ問題をおこす可能性があることを発見しました。 fspパッケージをインストールすると、管理者にたずねることなしに"ftp"という ユーザを追加します。標準的なFTPデーモンやwu-ftpdなどを使っていると 意図せずにanonymous FTPを有効にしてしまうことになります。

もしfspとFTPデーモンをインストールしていて、anonymous FTPを有効に したくないのであれば、"ftp"アカウントを削除すべきです。 "userdel ftp"というコマンドでこのユーザを削除することができます。

ptoftpdをFTPデーモンとして使っている場合はこれは影響にしないことに 注意してください。proftpdではanonymous FTPは管理者が有効にする必要があります。

ftp 2.71-10でこの問題を修正しました。もしfspパッケージをすでにインストール しているのなら、このバージョンにアップグレードするだけではユーザ"ftp"を 削除しないということに注意してください。管理者の手で削除する 必要があります。

修正: