• # Bof...

    Posté par . En réponse à la dépêche Vulnerabilité dans wu-ftpd et problème de communication entre Redhat et ses concurrents. Évalué à 1.

    La "faille" a été découverte le 19 et Securityfocus a contacté toutes les distributions incluant wu-ftpd à ce moment là (à voir le changelog du rpm redhat, le correctif a été inclus le 20 et modifié le 21). Ca fait quand-même une semaine... ce qui je pense est amplement suffisant pour sortir une version mise à jour, je vois pas vraiment pourquoi Red Hat devrait s'excuser!

    En plus, ce "bug" a été jugé "non exploitable" (ou très très très difficilement), donc tout ce remue-ménage est un peu inutile.

    Au passage, pour les ftp anonymes, vsftpd est vraiment à conseiller et pour les autres je préfère personnellement proftpd (ouais, j'en ai un peu marre des "exploits" réguliers trouvés dans wu-ftpd!)

    "Vendors for wu-ftpd please read" du 19/11 sur Bugtraq :
    http://www.securityfocus.com/archive/1/241105(...)

    Matthias