Aviso de seguridad de Debian

DSA-057-1 gftp -- ataque de formato de printf

Fecha del informe:

8 de may de 2001

Paquetes afectados:

gftp

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2001-0489.

Información adicional:

El paquete gftp tal y como se distribuye con Debian GNU/Linux 2.2 tiene un problema en su código de registro: registraba los datos recibidos de la red pero no se protegía a sí mismo de ataques de formato de printf. Un atacante podía usar esto para hacer que un seridor FTP devolviera respuestas especiales que explotaran esto.

Esto ha sido reparado en la versión 2.0.6a-3.1, y le recomendamos que actualice su paquete gftp.

Nota: Este aviso fue enviado como DSA-055-1 por error.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gftp_2.0.6a-3.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gftp_2.0.6a-3.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gftp_2.0.6a-3.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gftp_2.0.6a-3.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gftp_2.0.6a-3.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gftp_2.0.6a-3.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.