Рекомендация Debian по безопасности

ftpwatch -- уязвимость суперпользователя в ftpwatch

Дата сообщения:
17.01.1999
Затронутые пакеты:
ftpwatch
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-1999-0457.
Более подробная информация:
Мы обнаружили, что пакет ftpwatch, поставляемый в составе Debian GNU/Linux 1.3 и более поздних выпусках, содержит уязвимость, которая позволяет пользователям легко получить доступ с правами суперпользователя.

Рекомендуется как можно скорее удалить пакет ftpwatch.

Мы работаем над новой версией ftpwatch, в которой будут решены указанные проблемы, о её выпуске будет сообщено в отдельной рекомендации.

Новая рекомендация не была выпущена. Обновлённый пакет доступен в более свежих выпусках, файл README содержит следующее:

Из-за проблем безопасности FTPWatch более устанавливается в
файл crontab суперпользователя. Любой пользователь, который желает использовать эту программу, должен поместить
её в свой собственный файл crontab. Чтобы получать еженедельные обновления (как это было раньше) следует
использовать следующую строку:

  47 5    * * 7 /usr/sbin/ftpwatch

Кроме того, это означает, что все файлы в ~/.ftpwatch/ должны принадлежать
данному пользователю, а не суперпользователю.