Wir haben herausgefunden, dass das fsp-Paket einen mögliche Sicherheitsschwäche enthält. Wenn das fsp-Paket installiert wird, fügt es den Benutzer »ftp« hinzu, ohne den Administrator danach zu fragen. Dies kann anonymen FTP erlauben, falls Sie den Standard-FTP-Daemon oder »wu-ftpd« einsetzen.
Falls Sie fsp und einen FTP-Daemon installiert haben, und keinen anonymen FTP-Zugang aktiviert haben wollen, sollten Sie das Benutzerkonto von »ftp« entfernen. Dies kann mit dem Befehl »userdel ftp« erreicht werden.
Bitte beachten Sie, dass Sie, falls Sie »proftpd« als FTP-Daemon einsetzen, von dieser Schwachstelle nicht betroffen sind, da dort der anonyme FTP-Zugang manuell aktiviert werden muss.
Wir haben dieses Problem in fsp Version 2.71-10 behoben. Bitte beachten Sie, dass eine Aktualisierung auf diese Version den Benutzer »ftp« nicht entfernt. Falls Sie das Paket bereits installiert haben, müssen Sie dies manuell erledigen.