Alerta de Segurança Debian

DSA-357-1 wu-ftpd -- exploração remota da conta root

Data do Alerta:
31 Jul 2003
Pacotes Afetados:
wu-ftpd
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 8315.
No dicionário CVE do Mitre: CVE-2003-0466.
Informações adicionais:

O iSEC Security Research relatou que o wu-ftpd contém uma falha "off-by-one" na função fb_realpath que pode ser explorada por um usuário logado (local ou remoto) para obter privilégios de root. Um exploit, supostamente, está disponível.

Na atual distribuição estável (woody) este problema foi corrigido na versão 2.6.2-3woody1.

Na distribuição instável (sid), uma atualização será disponibilizada em breve.

Nós recomendamos que você atualize seus pacotes wu-ftpd imediatamente.

Corrigido em:

Debian GNU/Linux 3.0 (stable)

Fonte:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1.diff.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.