Información sobre seguridad / 1999 / Información sobre seguridad -- ftpwatch

Aviso de seguridad de Debian

ftpwatch -- compromiso de Root en ftpwatch

Fecha del informe:

17 de ene de 1999

Paquetes afectados:

ftpwatch

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-1999-0457.

Información adicional:

Hemos encontrado que el paquete ftpwatch tal y como se distribuyó en Debian GNU/Linux 1.3 y posteriores distribuciones tiene un problema de seguridad que hace que sea trivial para los usuarios ganar acceso como root.

Recomendamos que desinstale el paquete ftpwatch inmediatamente.

Estamos trabajando en una nueva versión de ftpwatch para encargarnos de estos problemas y que anunciaremos en un nuevo aviso.

Nunca se hizo tal aviso. El paquete actualizado está disponible en las nuevas distribuciones, y su fichero README.Debian contiene lo siguiente:

Debido a problemas de seguridad, FTPWatch no se instala más en el
fichero del crontab de root. En vez de eso, cada usuario que quiera
usarlo tiene que colocarlo en su propio crontab. Para conseguir una
actualización como antes, se podría usar la siguiente línea:

  47 5    * * 7 /usr/sbin/ftpwatch

Esto significa también que todos los ficheros en ~/.ftpwatch/ tienen
que recibir un chown para que el propietario de ellos sea el usuario
en vez de root.