Рекомендация Debian по безопасности

DSA-377-1 wu-ftpd -- небезопасное выполнение программы

Дата сообщения:
04.09.2003
Затронутые пакеты:
wu-ftpd
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-1999-0997.
Более подробная информация:

FTP-сервер wu-ftpd реализует возможность запроса нескольких файлов в виде динамически собираемого архивного файла, например, архива tar. Имена файлов, включаемых в архив, передаются в виде аргументов командной строки программе tar, но не проверяются на то, могут ли они быть восприняты как параметры команды. GNU tar поддерживает несколько параметров командной строки, которые могут использоваться, посредством этой уязвимости, к выполнению произвольных программ с привилегиями процесса wu-ftpd.

Джорджи Гунински (Georgi Guninski) указал, что эта уязвимость присутствует в Debian woody.

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.6.2-3woody2.

В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.

Мы рекомендуем вам обновить пакет wu-ftpd.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.