Рекомендация Debian по безопасности
ftpwatch -- уязвимость суперпользователя в ftpwatch
- Дата сообщения:
- 17.01.1999
- Затронутые пакеты:
- ftpwatch
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-1999-0457.
- Более подробная информация:
-
Мы обнаружили, что пакет ftpwatch, поставляемый в составе Debian
GNU/Linux 1.3 и более поздних выпусках, содержит уязвимость, которая позволяет
пользователям легко получить доступ с правами суперпользователя.
Рекомендуется как можно скорее удалить пакет ftpwatch.
Мы работаем над новой версией ftpwatch, в которой будут решены указанные проблемы, о её выпуске будет сообщено в отдельной рекомендации.
Новая рекомендация не была выпущена. Обновлённый пакет доступен в более свежих выпусках, файл README содержит следующее:
Из-за проблем безопасности FTPWatch более устанавливается в файл crontab суперпользователя. Любой пользователь, который желает использовать эту программу, должен поместить её в свой собственный файл crontab. Чтобы получать еженедельные обновления (как это было раньше) следует использовать следующую строку: 47 5 * * 7 /usr/sbin/ftpwatch Кроме того, это означает, что все файлы в ~/.ftpwatch/ должны принадлежать данному пользователю, а не суперпользователю.