Debian セキュリティ勧告
DSA-087-1 wu-ftpd -- リモートからの root 権限の奪取
- 報告日時:
- 2001-12-03
- 影響を受けるパッケージ:
- wu-ftpd
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 3581.
Mitre の CVE 辞書: CVE-2001-0550.
CERT の脆弱性リスト、勧告および付加情報: CA-2001-18, VU#886083. - 詳細:
-
CORE ST 社により、wu-ftpd の glob のコード (ファイル名のワイルドカード
を展開するコード) のバグにより攻撃が可能であることが報告されました。
ログインしているユーザ (匿名 FTP ユーザも含みます) ならば誰でも、
このバグを突いてサーバの root 権限を奪取することができます。
この問題は、バージョン 2.6.0-6 の wu-ftpd パッケージで修正されています。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-6.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/main/binary-all/wu-ftpd-academ_2.6.0-6_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-6_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.1-6_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-6_i386.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-6_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-6_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。