Bulletin d'alerte Debian

ftpwatch -- Compromission de « root » dans ftpwatch

Date du rapport :
17 janvier 1999
Paquets concernés :
ftpwatch
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-1999-0457.
Plus de précisions :
Nous avons trouvé que le paquet ftpwatch, distribué dans Debian GNU/Linux 1.3 et versions ultérieures, possède un trou de sécurité qui permet facilement aux utilisateurs d'usurper l'identité du superutilisateur « root ».

Nous vous recommandons d'enlever le paquet ftpwatch immédiatement.

Nous travaillerons sur une nouvelle version de ftpwatch pour corriger ce point et nous vous l'annoncerons.

Contrairement à ce qui est dit ci-dessus, la nouvelle annonce n'a jamais été faite. Le paquet mis à jour est cependant disponible dans les distributions récentes et le fichier README de Debian contient ceci :

À cause de problèmes de sécurité, FTPWatch ne touche plus au fichier crontab du
superutilisateur. À la place, chaque utilisateur possède sa propre liste de
tâches programmées. Pour avoir une mise à jour hebdomadaire comme par le passé,
on peut ajouter la ligne suivante :

  47 5    * * 7 /usr/sbin/ftpwatch

Ceci implique que tous les fichiers dans ~/.ftpwatch/ doivent appartenir à
l'utilisateur plutôt qu'à « root ».