Aviso de seguridad de Debian

DSA-377-1 wu-ftpd -- ejecución insegura de programa

Fecha del informe:
4 de sep de 2003
Paquetes afectados:
wu-ftpd
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-1999-0997.
Información adicional:

wu-ftpd, un servidor de FTP, implementa una característica por la que se pueden recoger múltiples archivos en forma de un paquete de archivos construído dinámicamente, como un paquete tar. Los nombres de los archivos que se debían incluir se pasaban como argumentos de la línea de comando a tar, sin protección alguna a ser interpretados como opciones de la línea de comando. GNU tar admite varias opciones en la línea de comando que se podían aprovechar, por medio de esta vulnerabilidad, para ejecutar programas arbitrarios con los privilegios del proceso wu-ftpd.

Georgi Guninski avisó de que esta vulnerabilidad existía en Debian woody.

Para la distribución estable (woody), este problema se ha corregido en la versión 2.6.2-3woody2.

Para la distribución inestable (sid), este problema se corregirá en breve.

Le recomendamos que actualice el paqute wu-ftpd.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.