Aviso de seguridad de Debian

DSA-457-1 wu-ftpd -- varias vulnerabilidades

Fecha del informe:
8 de mar de 2004
Paquetes afectados:
wu-ftpd
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 9832.
En el diccionario CVE de Mitre: CVE-2004-0148, CVE-2004-0185.
Información adicional:

Se descubrieron dos vulnerabilidades en wu-ftpd:

  • CAN-2004-0148

    Glenn Stewart descubrió que los usuarios podían evitar las restricciones de acceso a directorios impuestas por la opción restristed-gid cambiando los permitos de su directorio personal. En un posterior ingreso, cuando se denegara el acceso al directorio personal del usuario, wu-ftp le llevaría hasta el directorio raíz.

  • CAN-2004-0185

    Existía un desbordamiento de buffer en el código de wu-ftpd que hace referencia a la identificación con S/key.

Para la distribución estable (woody), estos problemas se han corregido en la versión 2.6.2-3woody4.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6.2-17.1.

Le recomendamos que actualice el paquete wu-ftpd.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4.dsc
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4.diff.gz
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody4_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.