Aviso de seguridad de Debian
DSA-084-1 gftp -- obtención de información
- Fecha del informe:
- 18 de oct de 2001
- Paquetes afectados:
- gftp
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3446.
En el diccionario CVE de Mitre: CVE-1999-1562. - Información adicional:
-
Stephane Gaudreault nos
dijo que la versión 2.0.6a de gftp muestra la contraseña en claro
en la pantalla dentro de la ventana de registros cuando está entrando
en un servidor FTP. Un compañero malintencionado que esté mirando la
pantalla podría conseguir acceso al intérprete de comandos del usuario
en la máquina remota.
Thite problema ha sido arreglado por el Equipo de Seguridad en la versión 2.0.6a-3.2 para la versión estable de Debian GNU/Linux 2.2.
Le recomendamos que actualice su paquete de gftp.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.2.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/gftp_2.0.6a-3.2_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/gftp_2.0.6a-3.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/gftp_2.0.6a-3.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/gftp_2.0.6a-3.2_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/gftp_2.0.6a-3.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/gftp_2.0.6a-3.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.