Aviso de seguridad de Debian
ftpwatch -- compromiso de Root en ftpwatch
- Fecha del informe:
- 17 de ene de 1999
- Paquetes afectados:
- ftpwatch
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-1999-0457.
- Información adicional:
- Hemos encontrado que el paquete ftpwatch tal y
como se distribuyó en Debian GNU/Linux 1.3 y posteriores
distribuciones tiene un problema de seguridad que hace que sea trivial
para los usuarios ganar acceso como root.
Recomendamos que desinstale el paquete ftpwatch inmediatamente.
Estamos trabajando en una nueva versión de ftpwatch para encargarnos de estos problemas y que anunciaremos en un nuevo aviso.
Nunca se hizo tal aviso. El paquete actualizado está disponible en las nuevas distribuciones, y su fichero README.Debian contiene lo siguiente:
Debido a problemas de seguridad, FTPWatch no se instala más en el fichero del crontab de root. En vez de eso, cada usuario que quiera usarlo tiene que colocarlo en su propio crontab. Para conseguir una actualización como antes, se podría usar la siguiente línea: 47 5 * * 7 /usr/sbin/ftpwatch Esto significa también que todos los ficheros en ~/.ftpwatch/ tienen que recibir un chown para que el propietario de ellos sea el usuario en vez de root.