Aviso de seguridad de Debian
DSA-087-1 wu-ftpd -- explotación de root remota
- Fecha del informe:
- 3 de dic de 2001
- Paquetes afectados:
- wu-ftpd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3581.
En el diccionario CVE de Mitre: CVE-2001-0550.
Notas y avisos de incidentes y vulnerabilidades en CERT: CA-2001-18, VU#886083. - Información adicional:
-
CORE ST informa de que se ha encontrdo una explotación para un error en el
código glob (este es el código que maneja la expansión wildcar del nombre de
archivo) de wu-ftpd. Cualquiera que hubiera entrado como usuario (incluidos
los usuarios anónimos de FTP) pueden explotar el error para conseguir los
privilegios de root en el servidor.
Esto ha sido corregido en la versión 2.6.0-6 del paquete wu-ftpd.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/main/binary-all/wu-ftpd-academ_2.6.0-6_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-6_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.1-6_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-6_i386.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-6_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-6_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.