Рекомендация Debian по безопасности

fsp -- создаёт неавторизованного пользователя "ftp"

Дата сообщения:
26.11.1998
Затронутые пакеты:
fsp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-1999-1411.
Более подробная информация:
Мы обнаружили, что пакет fsp содержит возможную проблему безопасности. При установке пакета fsp, сценарий установки пакет добавляет пользователя "ftp" без сообщения об этом администратору. Это может приводить к открытию анонимного доступа к FTP в случае, если вы используете стандартную службу FTP, либо wu-ftpd.

Если вы установили fsp и службу FTP, и если вы не хотите, чтобы анонимный доступ к FTP был включен, вам следует удалить учётную запись "ftp". Это можно сделать при помощи команды "userdel ftp".

Заметьте, что если вы используете proftpd в качестве службы FTP, то ваша система не подвержена данной проблеме, поскольку proftpd требует включения анонимного доступа к FTP вручную.

Мы исправили эту проблему в fsp 2.71-10. Заметьте, что если у вас уже установлен пакет fsp, обновление до новой версии не приведёт к удалению пользователя "ftp", вам следует удалить его самостоятельно.

Исправлено в: