Debian-Sicherheitsankündigung

ftpwatch -- root-Kompromittierung in ftpwatch

Datum des Berichts:
17. Jan 1999
Betroffene Pakete:
ftpwatch
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-1999-0457.
Weitere Informationen:

Wir haben herausgefunden, dass das ftpwatch-Paket, wie es mit Debian GNU/Linux 1.3 und neuer verteilt wird, ein Sicherheitsproblem hat, das den Benutzern einen einfachen Administratorzugang ermöglicht.

Wir empfehlen Ihnen, das ftpwatch-Paket umgehend zu entfernen.

Wir werden an einer neuen Version von ftpwatch arbeiten, um diese Probleme zu behandeln, und wir werden dies in einem neuen Sicherheitsgutachten bekanntgeben.

Ein neues Sicherheitsgutachten wurde nie veröffentlicht. Das aktualisierte Paket ist in neueren Distributionen enthalten und die Debian README enthält folgenden Text:

Aufgrund von Sicherheitsproblemen installiert sich FTPWatch nicht mehr
eigenständig in der crontab-Datei des Administrators (root). Stattdessen muss
jeder Benutzer, der es verwenden will, es in seine eigene crontab eintragen.
Um wie bisher eine wöchentliche Aktualisierung zu erhalten, muss folgende Zeile
eingefügt werden:

  47 5    * * 7 /usr/sbin/ftpwatch

Dies bedeutet zudem, das alle Dateien in ~/.ftpwatch/ mittels »chown« dem
Benutzer übertragen werden müssen (ursprünglich gehörten sie dem Administrator).