Información sobre seguridad / 2001 / Información sobre seguridad -- DSA-032-1 proftpd

Aviso de seguridad de Debian

DSA-032-1 proftpd -- proftpd ejecutado con identificación de usuario y borrado de ficheros erróneos

Fecha del informe:

7 de mar de 2001

Paquetes afectados:

proftpd

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2001-0456.

Información adicional:

Se han descubierto los siguientes problemas en la versión de Debian 2.2 de proftpd:

1. Existe un error de configuración en el script de postinstalación, cuando el usuario responde 'sí' (o 'yes'), cuando se le pregunta si se debe permitir acceso anónimo. el script de postinstalación deja erróneamente la opción de configuración 'ejecute con el uid/gid de root' en /etc/proftpd.conf, e inserta una opción 'ejecute con el uid/gid de nobody' que no tendrá ningún efecto.
2. Hay un fallo que se manifiesta cuando /var es un enlace simbólico, y se reinicia proftpd. Cuando se para proftpd, se borra el enlace simbólico /var; cuando se reinicia se crea un fichero con nombre /var.

Los problemas anteriores han sido corregidos en proftpd-1.2.0pre10-2.0potato1. Se recomienda que actualice su versión del paquete proftpd inmediatamente.

Arreglado en:

Debian 2.2 (potato)

Fuentes:

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/proftpd_1.2.0pre10-2.0potato1_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/proftpd_1.2.0pre10-2.0potato1_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/proftpd_1.2.0pre10-2.0potato1_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/proftpd_1.2.0pre10-2.0potato1_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/proftpd_1.2.0pre10-2.0potato1.1_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/proftpd_1.2.0pre10-2.0potato1_sparc.deb