Aviso de seguridad de Debian

DSA-084-1 gftp -- obtención de información

Fecha del informe:
18 de oct de 2001
Paquetes afectados:
gftp
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3446.
En el diccionario CVE de Mitre: CVE-1999-1562.
Información adicional:
Stephane Gaudreault nos dijo que la versión 2.0.6a de gftp muestra la contraseña en claro en la pantalla dentro de la ventana de registros cuando está entrando en un servidor FTP. Un compañero malintencionado que esté mirando la pantalla podría conseguir acceso al intérprete de comandos del usuario en la máquina remota.

Thite problema ha sido arreglado por el Equipo de Seguridad en la versión 2.0.6a-3.2 para la versión estable de Debian GNU/Linux 2.2.

Le recomendamos que actualice su paquete de gftp.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.2.dsc
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gftp_2.0.6a-3.2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/gftp_2.0.6a-3.2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/gftp_2.0.6a-3.2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gftp_2.0.6a-3.2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gftp_2.0.6a-3.2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gftp_2.0.6a-3.2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.