Debian セキュリティ勧告

DSA-377-1 wu-ftpd -- 安全でないプログラム実行

報告日時:
2003-09-04
影響を受けるパッケージ:
wu-ftpd
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-1999-0997.
詳細:

FTP サーバの wu-ftpd が実装している機能により、動的に構成した tar アーカイブのようなアーカイブファイルの形式で複数のファイルを取ってくることが可能です。 アーカイブに含められるファイルの名前は tar へのコマンドライン引数として渡される コマンドラインオプションとして解釈されることを考慮した保護措置が取られていません。 GNU tar は複数のコマンドラインオプションをサポートしていますが、 この脆弱性を悪用して、wu-ftpd プロセスの権限で任意のプログラムを実行することが可能です。

Georgi Guninski さんが、この脆弱性が Debian woody に存在することを指摘しました。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 2.6.2-3woody2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに wu-ftpd パッケージを更新することを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。