Vendor Status Note JVNCIAC-O-095

wu-ftpd に 'chmod' と S/Key に関わる脆弱性

概要

wu-ftpd バージョン 2.6.2 およびそれ以前には、S/Key 認証の処理にバッファオーバーフローの脆弱性があります。結果として、遠隔から第三者が root 権限を取得する可能性があります。

また同じバージョンの wu-ftpd には、restricted-gid オプションの扱いに脆弱性があります。結果として、ローカルユーザが本来アクセスできないディレクトリにアクセスする可能性があります。

影響を受けるシステム
- wu-ftpd バージョン 2.6.2 およびそれ以前

想定される影響

遠隔から第三者が root 権限を取得する可能性があります。
ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ警告 DSA-457
wu-ftpd -- 複数の脆弱性
Red Hatセキュリティアドバイス RHSA-2004:096
wu-ftpdパッケージのアップデート
Turbolinux JapanTurbolinux Security Advisory TLSA-2004-8
wu-ftpd に複数の弱点
WU-FTPD Development Grouphttp://www.wu-ftpd.org/
参考情報

  1. ISS X-Force Database: wuftpd-restrictedgid-gain-access(15423)
    WU-FTPD bypass restricted-gid option allows unauthorized access
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-1101 ( 2004-03-17 )
JPCERT-WR-2004-1301 ( 2004-03-31 )
CIAC BulletinO-095 wu-ftpd 'chmod' and S/Key Vulnerabilities ( 2004-03-09 )
CVE2004-0148 [CVE+] XF15423
PGP署名JVNCIAC-O-095.html.sig
登録日19:10 2004/03/16
更新日10:14 2004/03/31

Copyright(C) 2002-2009 Keio Univ. All rights reserved.