Debians sikkerhedsbulletin
DSA-377-1 wu-ftpd -- usikker programudførelse
- Rapporteret den:
- 4. sep 2003
- Berørte pakker:
- wu-ftpd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-1999-0997.
- Yderligere oplysninger:
-
wu-ftpd, en ftp-server, indeholder en funktion, der gør det muligt at hente flere filer via en dynamisk fremstillet arkivfil, eksempelvis et tar-arkiv. Navnene på de filer, der skal med i arkivet, overføres som kommandolinieparametre til tar, uden beskyttelse mod at de bliver opfattet som kommandolinieindstillinger. GNU tar understøtter flere kommandolinieindstillinger, der kan misbruges ved hjælp af denne sårbarhed, til at udføre vilkårlige programmer med rettighederne hørende til wu-ftpd-processen.
Georgi Guninski gjorde opmærksom på, at denne sårbarhed findes i Debian woody.
I den stabile distribution (woody) er dette problem rettet i version 2.6.2-3woody2.
I den ustabile distribution (sid) vil dette problem snart blive rettet.
Vi anbefaler at du opdaterer din wu-ftpd-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.