Bulletin d'alerte Debian

DSA-377-1 wu-ftpd -- Exécution de programme non sécurisée

Date du rapport :
4 septembre 2003
Paquets concernés :
wu-ftpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-1999-0997.
Plus de précisions :

wu-ftpd, un serveur FTP, possède une fonctionnalité qui permet la récupération de plusieurs fichiers sous forme d'une seule archive constituée dynamiquement, telle qu'une archive tar. Les noms des fichiers à inclure sont passés sous forme d'arguments de la ligne de commande à tar, sans protection contre le fait qu'ils pourraient être interprétés comme des options de la ligne de commande. Le tar GNU supporte plusieurs options de la ligne de commande dont il est possible d'abuser, en utilisant cette vulnérabilité, pour exécuter des programmes arbitraires avec les privilèges du processus wu-ftpd.

Georgi Guninski a précisé que cette vulnérabilité existe dans Debian Woody.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.6.2-3woody2.

Pour la distribution instable (Sid), ce problème sera bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet wu-ftpd.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.