Bulletin d'alerte Debian

DSA-087-1 wu-ftpd -- Connexion distante en root abusive

Date du rapport :

3 décembre 2001

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 3581.
Dans le dictionnaire CVE du Mitre : CVE-2001-0550.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : CA-2001-18, VU#886083.

Plus de précisions :

L'équipe en charge de la sécurité signale qu'il est possible d'exploiter un bogue du « glob code » de wu-ftpd (c'est le code qui fixe les caractères d'extension des noms de fichiers). Chaque utilisateur connecté (ceci inclut les utilisateurs connectés en anonyme sur le FTP) peut exploiter ce bogue pour obtenir les droits de root sur le serveur.

Ce problème a été corrigé dans la version 2.6.0-6 du paquet wu-ftpd.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.diff.gz; http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc; http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/dists/stable/updates/main/binary-all/wu-ftpd-academ_2.6.0-6_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-6_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.1-6_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-6_i386.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-6_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-6_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.