Objet: Mise à jour de Wu-FTPd

Risque

Usurpation de privilèges en local, pouvant conduire à :

• détérioration de configuration ;
• déni de service ;
• destruction de système.

Systèmes affectés

Linux

• Mandrake 6.0, 6.1, 7.0, 7.1, 7.2 ;
• Debian ;
• Toute autre version sur laquelle a été installée Wu-FTPd ;

Résumé

Des mises à jour corrigeant des vulnérabilités de Wu-FTPd ont été développées par différents éditeurs de Linux.

Description

Plusieurs mises à jours successives de Wu-FTPd ont été publiées par Mandrake suite à une vulnérabilité dans la gestion de fichiers temporaires.

Un correctif de la vulnérabilité concernant l'utilisation de fichiers temporaires de façon non sûre, a aussi été développé par Debian.

D'autres systèmes peuvent être touchés.

Le site Wu-FTPd :

http://www.wu-ftpd.org/

n'a pas encore publié d'avis, ou de mise à jour, mais il fautrester vigilant.

Solution

Appliquer les correctifs publiés par les éditeurs :

• Pour Linux Mandrake aller sur le site suivant pour choisir un site miroir de téléchargement :

  http://www.linux-mandrake.com/en/ftp.php3
  

  Puis, ajoutez la fin de l'adresse du site de téléchargement en fonction du fichier à télécharger :

  • Linux-Mandrake 6.0:
    • 6.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
    • 6.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
  • Linux-Mandrake 6.1:
    • 6.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
    • 6.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
  • Linux-Mandrake 7.0:
    • 7.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
    • 7.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
  • Linux-Mandrake 7.1:
    • 7.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
    • 7.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
  • Linux-Mandrake 7.2:
    • 7.2/RPMS/wu-ftpd-2.6.1-8.3mdk.i586.rpm
    • 7.2/SRPMS/wu-ftpd-2.6.1-8.3mdk.src.rpm
  • Corporate Server 1.0.1:
    • 1.0.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
    • 1.0.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
• Debian 2.2 (potato)
  • Sources :

    http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz
    

    http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.dsc
    

    http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.diff.gz
    

  • alpha:

    http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-5.2_alpha.deb
    

  • arm:

    http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.0-5.2_arm.deb
    

  • i386:

    http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-5.2_i386.deb
    

  • m68k:

    http://security.debian.org/dists/stable/updates/main/binary-m68k/wu-ftpd_2.6.0-5.2_m68k.deb
    

  • powerpc:

    http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-5.2_powerpc.deb
    

  • sparc:

    http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-5.2_sparc.deb
    

Documentation

Bulletins de sécurité :

• Linux-Mandrake :

  http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-001.php3?dis=7.2
  

• Debian :

  http://www.debian.org/security/2001/dsa-016