Debian セキュリティ勧告

ftpwatch -- ftpwatch における root 権限の奪取

報告日時:
1999-01-17
影響を受けるパッケージ:
ftpwatch
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-1999-0457.
詳細:
Debian GNU/Linux 1.3移行で配布されているftpwatchパッケージに ユーザがroot権限を得ることができるというセキュリティ問題があることを 発見しました。

ただちにftpwatchパッケージを削除することをお薦めします。

この問題に対処したftpwatchを現在作成中で、でき次第 新しいセキュリティ警告にて発表します。

新しいセキュリティ警告は結局だされていません。更新されたパッケージは より新しい配付版に含まれており、そのDebian READMEファイルには次のように 書かれています。

セキュリティ問題のために、FTPWatchはrootのcrontabにインストールしない
ことにしました。そのかわりに、FTPWatchを使いたいユーザは、自分のcrontab
に登録してください。以前のように毎週アップデートをかけたいのならば
次の行を使ってください。

  47 5    * * 7 /usr/sbin/ftpwatch

~/.ftpwatch/ 以下のすべてのファイルの所有者はrootではなくユーザに
しておく必要があります。