Informations de sécurité / 2001 / Informations sur la sécurité -- DSA-032-1 proftpd

Bulletin d'alerte Debian

DSA-032-1 proftpd -- Proftpd exécuté avec une mauvaise identité et une erreur de remplacement de fichier

Date du rapport :

7 mars 2001

Paquets concernés :

proftpd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2001-0456.

Plus de précisions :

Les problèmes suivants ont été rapportés concernant la version de proftpd dans Debian 2.2 (Potato) :

1. Il y a une erreur de configuration dans le script d'après-installation, quand l'utilisateur entre « yes » à la question s'il souhaite un accès anonyme activé. Le script d'après-installation laisse malheureusement l'option de configuration run as uid/gid root dans /etc/proftpd.conf et ajoute l'option run as uid/gid nobody qui n'a pas d'effet ;
2. Il y a un bogue qui a lieu si /var est un lien symbolique et que proftpd est redémarré. En stoppant proftpd, le lien symbolique /var est remplacé ; en redémarrant un fichier nommé /var est créé.

Les problèmes ci-dessus ont été corrigés dans proftpd 1.2.0pre10-2.0potato1. Nous vous recommandons de mettre à jour immédiatement votre paquet proftpd.

Corrigé dans :

Debian 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/proftpd_1.2.0pre10-2.0potato1_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/proftpd_1.2.0pre10-2.0potato1_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/proftpd_1.2.0pre10-2.0potato1_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/proftpd_1.2.0pre10-2.0potato1_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/proftpd_1.2.0pre10-2.0potato1.1_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/proftpd_1.2.0pre10-2.0potato1_sparc.deb