Bulletin d'alerte Debian
ftpwatch -- Compromission de « root » dans ftpwatch
- Date du rapport :
- 17 janvier 1999
- Paquets concernés :
- ftpwatch
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-1999-0457.
- Plus de précisions :
-
Nous avons trouvé que le paquet ftpwatch, distribué dans Debian
GNU/Linux 1.3 et versions ultérieures, possède un trou de sécurité qui
permet facilement aux utilisateurs d'usurper l'identité du superutilisateur
« root ».
Nous vous recommandons d'enlever le paquet ftpwatch immédiatement.
Nous travaillerons sur une nouvelle version de ftpwatch pour corriger ce point et nous vous l'annoncerons.
Contrairement à ce qui est dit ci-dessus, la nouvelle annonce n'a jamais été faite. Le paquet mis à jour est cependant disponible dans les distributions récentes et le fichier README de Debian contient ceci :
À cause de problèmes de sécurité, FTPWatch ne touche plus au fichier crontab du superutilisateur. À la place, chaque utilisateur possède sa propre liste de tâches programmées. Pour avoir une mise à jour hebdomadaire comme par le passé, on peut ajouter la ligne suivante : 47 5 * * 7 /usr/sbin/ftpwatch Ceci implique que tous les fichiers dans ~/.ftpwatch/ doivent appartenir à l'utilisateur plutôt qu'à « root ».