Säkerhetsbulletin från Debian

DSA-032-1 proftpd -- proftpd kör med fel användar-id, felaktig radering av filer

Rapporterat den:
2001-03-07
Berörda paket:
proftpd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2001-0456.
Ytterligare information:
Följande problem har rapporterats i versionen av proftpd i Debian 2.2 (potato):
  1. Det finns ett konfigureringsfel i postinst-skriptet när användaren svarar "ja" på frågan om anonym åtkomst skall aktiveras. Postinst-skriptet lämnar felaktigt kvar konfigurationsflagga "kör som uid/gid root" i /etc/proftpd.conf, och lägger till flaggan "kör som uid/gid nobody" som inte får någon effekt.
  2. Det finns ett fel som dyker upp om /var är en symbolisk länk och proftpd startas om. När proftpd stoppas tas den symboliska länken /var bort, och när det startas om skapas en fil med namnet /var.
Ovanstående problem har rättats i proftpd-1.2.0pre10-2.0potato1. Vi rekommenderar att du uppgraderar ditt proftpd-paket omedelbart.
Rättat i:

Debian 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10-2.0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/proftpd_1.2.0pre10.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/proftpd_1.2.0pre10-2.0potato1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/proftpd_1.2.0pre10-2.0potato1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/proftpd_1.2.0pre10-2.0potato1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/proftpd_1.2.0pre10-2.0potato1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/proftpd_1.2.0pre10-2.0potato1.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/proftpd_1.2.0pre10-2.0potato1_sparc.deb