Debians sikkerhedsbulletin
DSA-087-1 wu-ftpd -- fjernudnyttelse af root
- Rapporteret den:
- 3. dec 2001
- Berørte pakker:
- wu-ftpd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3581.
I Mitres CVE-ordbog: CVE-2001-0550.
CERTs noter om sårbarheder, bulletiner og hændelser: CA-2001-18, VU#886083. - Yderligere oplysninger:
-
CORE ST rapporterer at der er fundet en fejl i wu-ftpds "glob"-kode som kan
udnyttes (dette er koden som håndterer udvidelse af filnavne ved hjælp af
"wildcards"). Enhver bruger som er logget ind (inklusive anonyme ftp-brugere)
kan udnytte fejlen til at få root-adgang til serveren.
Dette er rettet i version 2.6.0-6 af wu-ftpd-pakken.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/dists/stable/updates/main/binary-all/wu-ftpd-academ_2.6.0-6_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-6_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.1-6_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-6_i386.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-6_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-6_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.