Alerta de Segurança Debian
DSA-357-1 wu-ftpd -- exploração remota da conta root
- Data do Alerta:
- 31 Jul 2003
- Pacotes Afetados:
- wu-ftpd
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 8315.
No dicionário CVE do Mitre: CVE-2003-0466. - Informações adicionais:
-
O iSEC Security Research relatou que o wu-ftpd contém uma falha "off-by-one" na função fb_realpath que pode ser explorada por um usuário logado (local ou remoto) para obter privilégios de root. Um exploit, supostamente, está disponível.
Na atual distribuição estável (woody) este problema foi corrigido na versão 2.6.2-3woody1.
Na distribuição instável (sid), uma atualização será disponibilizada em breve.
Nós recomendamos que você atualize seus pacotes wu-ftpd imediatamente.
- Corrigido em:
-
Debian GNU/Linux 3.0 (stable)
- Fonte:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1.dsc
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1.dsc
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.