Bulletin d'alerte Debian
fsp -- Création non autorisée de l'utilisateur ftp
- Date du rapport :
- 26 novembre 1998
- Paquets concernés :
- fsp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-1999-1411.
- Plus de précisions :
-
Nous avons trouvé que le paquet fsp introduit un possible défaut de
sécurité. Lorsque le paquet fsp est installé, il ajoute l'utilisateur
ftp sans en avertir l'administrateur. Ceci autorise le FTP
anonyme si vous utilisez le démon standard FTP ou wu-ftpd.
Si vous avez installé fsp et un démon FTP et que vous ne désirez pas autoriser le FTP anonyme, vous devez effacer le compte ftp. Cela peut être effectué avec la commande userdel ftp.
Veuillez noter que si vous utilisez proftpd en tant que démon FTP ce défaut ne vous affectera aucunement puisqu'il requiert votre intervention manuelle pour autoriser le FTP anonyme.
Nous avons réparé cela dans fsp 2.71-10. Veuillez noter que si vous avez déjà installé fsp, mettez à jour avec cette version ne supprimera pas l'utilisateur ftp, vous devrez le faire manuellement.
- Corrigé dans :
-
- Source :
http://ftp.debian.org/pub/debian/dists/proposed-updates/fsp_2.71.orig.tar.gz
http://ftp.debian.org/pub/debian/dists/proposed-updates/fsp_2.71-8hamm10.diff.gz
http://ftp.debian.org/pub/debian/dists/proposed-updates/fsp_2.71-8hamm10.dsc - Intel:
http://ftp.debian.org/pub/debian/dists/proposed-updates/fsp_2.71-8hamm10_i386.deb - Motorola 680x0:
http://ftp.debian.org/pub/debian/dists/proposed-updates/fsp_2.71-8hamm10_m68k.deb
- Source :