S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 janvier 2001
N° CERTA-2001-AVI-007
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Mise à jour de Wu-FTPd

Gestion du document

Référence CERTA-2001-AVI-007
Titre Mise à jour de Wu-FTPd
Date de la première version24 janvier 2001
Date de la dernière version24 janvier 2001
Source(s) Avis de Sécurité Debian et Mandrake
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Destruction de système
  • Déni de service
  • Détérioration de configuration

Systèmes affectés

Linux

  • Mandrake 6.0, 6.1, 7.0, 7.1, 7.2 ;
  • Debian ;
  • Toute autre version sur laquelle a été installée Wu-FTPd ;

Résumé

Des mises à jour corrigeant des vulnérabilités de Wu-FTPd ont été développées par différents éditeurs de Linux.

Description

Plusieurs mises à jours successives de Wu-FTPd ont été publiées par Mandrake suite à une vulnérabilité dans la gestion de fichiers temporaires.

Un correctif de la vulnérabilité concernant l'utilisation de fichiers temporaires de façon non sûre, a aussi été développé par Debian.

D'autres systèmes peuvent être touchés.

Le site Wu-FTPd :

http://www.wu-ftpd.org/

n'a pas encore publié d'avis, ou de mise à jour, mais il fautrester vigilant.

Solution

Appliquer les correctifs publiés par les éditeurs :

  • Pour Linux Mandrake aller sur le site suivant pour choisir un site miroir de téléchargement :

    http://www.linux-mandrake.com/en/ftp.php3

    Puis, ajoutez la fin de l'adresse du site de téléchargement en fonction du fichier à télécharger :

    • Linux-Mandrake 6.0:
      • 6.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
      • 6.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
    • Linux-Mandrake 6.1:
      • 6.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
      • 6.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
    • Linux-Mandrake 7.0:
      • 7.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
      • 7.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
    • Linux-Mandrake 7.1:
      • 7.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
      • 7.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
    • Linux-Mandrake 7.2:
      • 7.2/RPMS/wu-ftpd-2.6.1-8.3mdk.i586.rpm
      • 7.2/SRPMS/wu-ftpd-2.6.1-8.3mdk.src.rpm
    • Corporate Server 1.0.1:
      • 1.0.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
      • 1.0.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm

  • Debian 2.2 (potato)

    • Sources :

      http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz

http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.dsc

http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.diff.gz

    • alpha:

      http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-5.2_alpha.deb

    • arm:

      http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.0-5.2_arm.deb

    • i386:

      http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-5.2_i386.deb

    • m68k:

      http://security.debian.org/dists/stable/updates/main/binary-m68k/wu-ftpd_2.6.0-5.2_m68k.deb

    • powerpc:

      http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-5.2_powerpc.deb

    • sparc:

      http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-5.2_sparc.deb

Documentation

Gestion détaillée du document

    le 24 janvier 2001
    version initiale.