セキュリティ情報 / 1999 / セキュリティ情報 -- ftpwatch

Debian セキュリティ勧告

ftpwatch -- ftpwatch における root 権限の奪取

報告日時:

1999-01-17

影響を受けるパッケージ:

ftpwatch

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-1999-0457.

詳細:

Debian GNU/Linux 1.3移行で配布されているftpwatchパッケージに ユーザがroot権限を得ることができるというセキュリティ問題があることを 発見しました。

ただちにftpwatchパッケージを削除することをお薦めします。

この問題に対処したftpwatchを現在作成中で、でき次第 新しいセキュリティ警告にて発表します。

新しいセキュリティ警告は結局だされていません。更新されたパッケージは より新しい配付版に含まれており、そのDebian READMEファイルには次のように 書かれています。

セキュリティ問題のために、FTPWatchはrootのcrontabにインストールしない
ことにしました。そのかわりに、FTPWatchを使いたいユーザは、自分のcrontab
に登録してください。以前のように毎週アップデートをかけたいのならば
次の行を使ってください。

  47 5    * * 7 /usr/sbin/ftpwatch

~/.ftpwatch/ 以下のすべてのファイルの所有者はrootではなくユーザに
しておく必要があります。