• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-377-1 wu-ftpd -- небезопасное выполнение программы

Главная Специалистам База уязвимостей DSA-377-1 wu-ftpd -- небезопасное выполнение программы

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
wu-ftpd (any) wu-ftpd-academ (any)
Описание
FTP-сервер wu-ftpd реализует возможность запроса нескольких файлов
в виде динамически собираемого архивного файла, например, архива tar.
Имена файлов, включаемых в архив, передаются в виде аргументов
командной строки программе tar, но не проверяются на то, могут ли они
быть восприняты как параметры команды. GNU tar поддерживает несколько
параметров командной строки, которые могут использоваться, посредством
этой уязвимости, к выполнению произвольных программ с привилегиями
процесса wu-ftpd.
Джорджи Гунински (Georgi Guninski) указал, что эта уязвимость
присутствует в Debian woody.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 2.6.2-3woody2.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить пакет wu-ftpd.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
wu-ftpd - 2.6.2-3woody2
s390x:
wu-ftpd - 2.6.2-3woody2
m68k:
wu-ftpd - 2.6.2-3woody2
i686:
wu-ftpd - 2.6.2-3woody2
hppa:
wu-ftpd - 2.6.2-3woody2
sparc:
wu-ftpd - 2.6.2-3woody2
alpha:
wu-ftpd - 2.6.2-3woody2
ia64:
wu-ftpd - 2.6.2-3woody2
mips:
wu-ftpd - 2.6.2-3woody2
noarch:
wu-ftpd-academ - 2.6.2-3woody2
mipsel:
wu-ftpd - 2.6.2-3woody2
arm:
wu-ftpd - 2.6.2-3woody2
Ссылки
http://www.debian.org/security/dsa-377/

Источник: CVE
Наименование: CVE-1999-0997
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0997