Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-377-1 wu-ftpd -- ejecución insegura de programa

Fecha del informe:

4 de sep de 2003

Paquetes afectados:

wu-ftpd

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-1999-0997.

Información adicional:

wu-ftpd, un servidor de FTP, implementa una característica por la que se pueden recoger múltiples archivos en forma de un paquete de archivos construído dinámicamente, como un paquete tar. Los nombres de los archivos que se debían incluir se pasaban como argumentos de la línea de comando a tar, sin protección alguna a ser interpretados como opciones de la línea de comando. GNU tar admite varias opciones en la línea de comando que se podían aprovechar, por medio de esta vulnerabilidad, para ejecutar programas arbitrarios con los privilegios del proceso wu-ftpd.

Georgi Guninski avisó de que esta vulnerabilidad existía en Debian woody.

Para la distribución estable (woody), este problema se ha corregido en la versión 2.6.2-3woody2.

Para la distribución inestable (sid), este problema se corregirá en breve.

Le recomendamos que actualice el paqute wu-ftpd.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz

Componentes independientes de la arquitectura:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb

Alpha:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français Português Русский (Russkij) svenska

Cómo modificar el idioma por defecto de los documentos