Säkerhetsbulletin från Debian
DSA-377-1 wu-ftpd -- osäker exekvering av program
- Rapporterat den:
- 2003-09-04
- Berörda paket:
- wu-ftpd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-1999-0997.
- Ytterligare information:
-
Wu-ftpd, en ftp-server, implementerar en funktion som gör det möjligt att hämta flera filer i en dynamiskt skapad arkivfil, så som ett tar-arkiv. Namnen på filerna som läggs med anges som kommandoradsparametrar till tar, utan att skyddas mot att de tolkas som kommandoradsflaggor. GNU tar stöder flera kommandoradsflaggor som kan missbrukas, genom denna sårbarhet, till att exekvera godtyckliga program med wu-ftpd-processens privilegier.
Georgi Guninski påpekade att denna sårbarhet finns i Debian Woody.
För den stabila utgåvan (Woody) har detta problem rättats i version 2.6.2-3woody2.
För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.
Vi rekommenderar att ni uppgraderar ert wu-ftpd-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.