certfr_avis - CERTA-2001-AVI-007

CERTA-2001-AVI-007

Vulnerability from certfr_avis - Published: - Updated:

Des mises à jour corrigeant des vulnérabilités de Wu-FTPd ont été développées par différents éditeurs de Linux.

Description

Plusieurs mises à jours successives de Wu-FTPd ont été publiées par Mandrake suite à une vulnérabilité dans la gestion de fichiers temporaires.

Un correctif de la vulnérabilité concernant l'utilisation de fichiers temporaires de façon non sûre, a aussi été développé par Debian.

D'autres systèmes peuvent être touchés.

Le site Wu-FTPd :

http://www.wu-ftpd.org/

n'a pas encore publié d'avis, ou de mise à jour, mais il fautrester vigilant.

Solution

Appliquer les correctifs publiés par les éditeurs :

Pour Linux Mandrake aller sur le site suivant pour choisir un site miroir de téléchargement :
```
http://www.linux-mandrake.com/en/ftp.php3
```
Puis, ajoutez la fin de l'adresse du site de téléchargement en fonction du fichier à télécharger :
- Linux-Mandrake 6.0:
  - 6.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
  - 6.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
- Linux-Mandrake 6.1:
  - 6.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
  - 6.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
- Linux-Mandrake 7.0:
  - 7.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
  - 7.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
- Linux-Mandrake 7.1:
  - 7.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
  - 7.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm
- Linux-Mandrake 7.2:
  - 7.2/RPMS/wu-ftpd-2.6.1-8.3mdk.i586.rpm
  - 7.2/SRPMS/wu-ftpd-2.6.1-8.3mdk.src.rpm
- Corporate Server 1.0.1:
  - 1.0.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm
  - 1.0.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm

Debian 2.2 (potato)

Sources :

http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz

http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.dsc

http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.diff.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-5.2_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.0-5.2_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-5.2_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/wu-ftpd_2.6.0-5.2_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-5.2_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-5.2_sparc.deb

Linux

Mandrake 6.0, 6.1, 7.0, 7.1, 7.2 ;
Debian ;
Toute autre version sur laquelle a été installée Wu-FTPd ;

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Avis de Sécurité Debian et Mandrake	None	vendor-advisory
Bulletins de sécurité :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLinux\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMandrake 6.0, 6.1, 7.0, 7.1, 7.2 ;\u003c/LI\u003e    \u003cLI\u003eDebian ;\u003c/LI\u003e    \u003cLI\u003eToute autre version sur laquelle a \u00e9t\u00e9 install\u00e9e Wu-FTPd    ;\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nPlusieurs mises \u00e0 jours successives de Wu-FTPd ont \u00e9t\u00e9 publi\u00e9es par\nMandrake suite \u00e0 une vuln\u00e9rabilit\u00e9 dans la gestion de fichiers\ntemporaires.\n\nUn correctif de la vuln\u00e9rabilit\u00e9 concernant l\u0027utilisation de fichiers\ntemporaires de fa\u00e7on non s\u00fbre, a aussi \u00e9t\u00e9 d\u00e9velopp\u00e9 par Debian.\n\nD\u0027autres syst\u00e8mes peuvent \u00eatre touch\u00e9s.\n\nLe site Wu-FTPd :\n\n    http://www.wu-ftpd.org/\n\nn\u0027a pas encore publi\u00e9 d\u0027avis, ou de mise \u00e0 jour, mais il fautrester\nvigilant.\n\n## Solution\n\nAppliquer les correctifs publi\u00e9s par les \u00e9diteurs :\n\n-   Pour Linux Mandrake aller sur le site suivant pour choisir un site\n    miroir de t\u00e9l\u00e9chargement :\n\n        http://www.linux-mandrake.com/en/ftp.php3\n\n    Puis, ajoutez la fin de l\u0027adresse du site de t\u00e9l\u00e9chargement en\n    fonction du fichier \u00e0 t\u00e9l\u00e9charger :\n\n    -   Linux-Mandrake 6.0:\n        -   6.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm\n        -   6.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm\n    -   Linux-Mandrake 6.1:\n        -   6.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm\n        -   6.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm\n    -   Linux-Mandrake 7.0:\n        -   7.0/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm\n        -   7.0/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm\n    -   Linux-Mandrake 7.1:\n        -   7.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm\n        -   7.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm\n    -   Linux-Mandrake 7.2:\n        -   7.2/RPMS/wu-ftpd-2.6.1-8.3mdk.i586.rpm\n        -   7.2/SRPMS/wu-ftpd-2.6.1-8.3mdk.src.rpm\n    -   Corporate Server 1.0.1:\n        -   1.0.1/RPMS/wu-ftpd-2.6.1-8.4mdk.i586.rpm\n        -   1.0.1/SRPMS/wu-ftpd-2.6.1-8.4mdk.src.rpm\n\n-   Debian 2.2 (potato)\n    -   Sources :\n\n            http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0.orig.tar.gz\n\n            http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.dsc\n\n            http://security.debian.org/dists/stable/updates/main/source/wu-ftpd_2.6.0-5.2.diff.gz\n\n    -   alpha:\n\n            http://security.debian.org/dists/stable/updates/main/binary-alpha/wu-ftpd_2.6.0-5.2_alpha.deb\n\n    -   arm:\n\n            http://security.debian.org/dists/stable/updates/main/binary-arm/wu-ftpd_2.6.0-5.2_arm.deb\n\n    -   i386:\n\n            http://security.debian.org/dists/stable/updates/main/binary-i386/wu-ftpd_2.6.0-5.2_i386.deb\n\n    -   m68k:\n\n            http://security.debian.org/dists/stable/updates/main/binary-m68k/wu-ftpd_2.6.0-5.2_m68k.deb\n\n    -   powerpc:\n\n            http://security.debian.org/dists/stable/updates/main/binary-powerpc/wu-ftpd_2.6.0-5.2_powerpc.deb\n\n    -   sparc:\n\n            http://security.debian.org/dists/stable/updates/main/binary-sparc/wu-ftpd_2.6.0-5.2_sparc.deb\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletins de s\u00e9curit\u00e9 :",
      "url": "http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-001.php3?dis=7.2"
    }
  ],
  "reference": "CERTA-2001-AVI-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-01-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Destruction de syst\u00e8me"
    },
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "D\u00e9t\u00e9rioration de configuration"
    }
  ],
  "summary": "Des mises \u00e0 jour corrigeant des vuln\u00e9rabilit\u00e9s de Wu-FTPd ont \u00e9t\u00e9\nd\u00e9velopp\u00e9es par diff\u00e9rents \u00e9diteurs de Linux.\n",
  "title": "Mise \u00e0 jour de Wu-FTPd",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de S\u00e9curit\u00e9 Debian et Mandrake",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted