Aviso de seguridad de Debian
DSA-057-1 gftp -- ataque de formato de printf
- Fecha del informe:
- 8 de may de 2001
- Paquetes afectados:
- gftp
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0489.
- Información adicional:
-
El paquete gftp tal y como se distribuye con Debian GNU/Linux 2.2 tiene un
problema en su código de registro: registraba los datos recibidos de la red
pero no se protegía a sí mismo de ataques de formato de printf. Un atacante
podía usar esto para hacer que un seridor FTP devolviera respuestas especiales
que explotaran esto.
Esto ha sido reparado en la versión 2.0.6a-3.1, y le recomendamos que actualice su paquete gftp.
Nota: Este aviso fue enviado como DSA-055-1 por error.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/gftp_2.0.6a-3.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/gftp_2.0.6a-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/gftp_2.0.6a-3.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/gftp_2.0.6a-3.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/gftp_2.0.6a-3.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/gftp_2.0.6a-3.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.