Bulletin d'alerte Debian
DSA-377-1 wu-ftpd -- Exécution de programme non sécurisée
- Date du rapport :
- 4 septembre 2003
- Paquets concernés :
- wu-ftpd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-1999-0997.
- Plus de précisions :
-
wu-ftpd, un serveur FTP, possède une fonctionnalité qui permet la récupération de plusieurs fichiers sous forme d'une seule archive constituée dynamiquement, telle qu'une archive tar. Les noms des fichiers à inclure sont passés sous forme d'arguments de la ligne de commande à tar, sans protection contre le fait qu'ils pourraient être interprétés comme des options de la ligne de commande. Le tar GNU supporte plusieurs options de la ligne de commande dont il est possible d'abuser, en utilisant cette vulnérabilité, pour exécuter des programmes arbitraires avec les privilèges du processus wu-ftpd.
Georgi Guninski a précisé que cette vulnérabilité existe dans Debian Woody.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.6.2-3woody2.
Pour la distribution instable (Sid), ce problème sera bientôt corrigé.
Nous vous recommandons de mettre à jour votre paquet wu-ftpd.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.