Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
wu-ftpd
(any)
wu-ftpd-academ
(any)
Описание
iSEC Security Research сообщает, что wu-ftpd содержит ошибку в
функции fb_realpath, которая может использоваться пользователем,
прошедшим авторизацию (локальным или анонимным) для присвоения привилегий
пользователя root. В сообщение также включён пример эксплуатации ошибки.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 2.6.2-3woody1.
В нестабильном дистрибутиве (sid) обновление будет доступно
в ближайшее время.
Мы рекомендуем вам немедленно обновить пакет wu-ftpd.
функции fb_realpath, которая может использоваться пользователем,
прошедшим авторизацию (локальным или анонимным) для присвоения привилегий
пользователя root. В сообщение также включён пример эксплуатации ошибки.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 2.6.2-3woody1.
В нестабильном дистрибутиве (sid) обновление будет доступно
в ближайшее время.
Мы рекомендуем вам немедленно обновить пакет wu-ftpd.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
wu-ftpd - 2.6.2-3woody1
s390x:
wu-ftpd - 2.6.2-3woody1
m68k:
wu-ftpd - 2.6.2-3woody1
i686:
wu-ftpd - 2.6.2-3woody1
hppa:
wu-ftpd - 2.6.2-3woody1
sparc:
wu-ftpd - 2.6.2-3woody1
alpha:
wu-ftpd - 2.6.2-3woody1
ia64:
wu-ftpd - 2.6.2-3woody1
mips:
wu-ftpd - 2.6.2-3woody1
noarch:
wu-ftpd-academ - 2.6.2-3woody1
mipsel:
wu-ftpd - 2.6.2-3woody1
arm:
wu-ftpd - 2.6.2-3woody1
Debian GNU/Linux 3.0:
ppc:
wu-ftpd - 2.6.2-3woody1
s390x:
wu-ftpd - 2.6.2-3woody1
m68k:
wu-ftpd - 2.6.2-3woody1
i686:
wu-ftpd - 2.6.2-3woody1
hppa:
wu-ftpd - 2.6.2-3woody1
sparc:
wu-ftpd - 2.6.2-3woody1
alpha:
wu-ftpd - 2.6.2-3woody1
ia64:
wu-ftpd - 2.6.2-3woody1
mips:
wu-ftpd - 2.6.2-3woody1
noarch:
wu-ftpd-academ - 2.6.2-3woody1
mipsel:
wu-ftpd - 2.6.2-3woody1
arm:
wu-ftpd - 2.6.2-3woody1
Ссылки
http://www.debian.org/security/dsa-357/
Источник: CVE
Наименование: CVE-2003-0466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0466
Источник: CVE
Наименование: CVE-2003-0466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0466