Säkerhetsbulletin från Debian

DSA-377-1 wu-ftpd -- osäker exekvering av program

Rapporterat den:

2003-09-04

Berörda paket:

wu-ftpd

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-1999-0997.

Ytterligare information:

Wu-ftpd, en ftp-server, implementerar en funktion som gör det möjligt att hämta flera filer i en dynamiskt skapad arkivfil, så som ett tar-arkiv. Namnen på filerna som läggs med anges som kommandoradsparametrar till tar, utan att skyddas mot att de tolkas som kommandoradsflaggor. GNU tar stöder flera kommandoradsflaggor som kan missbrukas, genom denna sårbarhet, till att exekvera godtyckliga program med wu-ftpd-processens privilegier.

Georgi Guninski påpekade att denna sårbarhet finns i Debian Woody.

För den stabila utgåvan (Woody) har detta problem rättats i version 2.6.2-3woody2.

För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar ert wu-ftpd-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.dsc; http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2.diff.gz; http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody2_all.deb
Alpha:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.