Säkerhetsbulletin från Debian

fsp -- skapar användaren "ftp" utan att fråga

Rapporterat den:
1998-11-26
Berörda paket:
fsp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-1999-1411.
Ytterligare information:
Vi har upptäckt att fsp-paketet introducerar en möjlig säkerhetsmiss. När fsp-paketet installeras läger det till användaren "ftp" utan att fråga administratören, vilket kan aktivera anonym ftp om du använder den vanliga ftp eller wu-ftpd som din ftp-server.

Om du har installerat fsp och en ftp-server, och du inte vill ha anonym ftp aktiverad bör du ta bort kontot "ftp". Detta kan göras med kommandot "userdel ftp".

Observera att om du använder proftpd som ftp-server kommer denna miss inte att påverka dig, eftersom den kräver att man aktiverar anonym ftp manuellt.

Vi har rättat detta i fsp 2.71-10. Notera att om du redan har installerat fsp kommer inte användaren "ftp" att tas bort om du uppgraderar till denna version, det måste du göra manuellt.

Rättat i: