Säkerhetsbulletin från Debian

DSA-087-1 wu-ftpd -- fjärr-rootattack

Rapporterat den:
2001-12-03
Berörda paket:
wu-ftpd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3581.
I Mitres CVE-förteckning: CVE-2001-0550.
CERTs information om sårbarheter, bulletiner och incidenter: CA-2001-18, VU#886083.
Ytterligare information:
CORE ST rapporterar att ha funnit ett sätt att utnyttja ett fel i wu-ftpd:s "glob"-kod (koden som hanterar expandering av jokertecken i filnamn). Alla inloggade användare (inklusive anonyma ftp-användare) kan utnyttja felet för att få rootbehörighet på servern.

Detta har rättats i version 2.6.0-6 av paketet wu-ftpd.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.diff.gz
http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/wu-ftpd-academ_2.6.0-6_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-6_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.1-6_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-6_i386.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-6_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-6_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.