Debians sikkerhedsbulletin

DSA-2305-1 vsftpd -- lammelsesangreb

Rapporteret den:
19. sep 2011
Berørte pakker:
vsftpd
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 622741, Fejl 629373.
I Mitres CVE-ordbog: CVE-2011-0762, CVE-2011-2189.
Yderligere oplysninger:

Der blev opdaget to sikkerhedsproblemer som påvirker vsftpd, en letvægts- og effektiv ftp-server udviklet med henblik på sikkerhed.

  • CVE-2011-2189

    Man opdagede at Linux-kerne mindre end 2.6.35 er betragteligt langsommere til at frigive end at oprette netværksnamespaces. Som en følge heraf, og fordi vsftpd anvender denne funktionalitet som en sikkerhedsforbedring, for at netværksisolere forbindelser, var det muligt at forårsage en lammelsesangrebstilstand (denial of service) som følge af kernens overdrevne allokering af hukommelse. Rent teknisk er der ikke tale om en fejl i vsftpd, men om en fejl i kernen. Dog er funktionaliteten anvendelig, men tilbageførsel af den specifikke kernepatch vil være for indgribende. Desuden kræver det at en lokal angriber har CAP_SYS_ADMIN-muligheden, for at funktionaliteten kan misbruges. Derfor, som en rettelse, er der tilføjet et kerneversionstjek i vsftpd, for at deaktivere funktionaliteten når kernen er mindre end 2.6.35.

  • CVE-2011-0762

    Maksymilian Arciemowicz opdagede at vsftpd håndterede visse glob-udtryk i STAT-kommandoer på ukorrekt vis. Dermed var det muligt for en fjernautentificeret angriber at iværksætte lammelsesangreb (overdrevet CPU-forbrug og processlotudmattelse) via fabrikerede STAT-kommandoer.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.0.7-1+lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.2-3+squeeze2. Bemærk at CVE-2011-2189 ikke påvirker versionen i lenny.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.4-1.

Vi anbefaler at du opgraderer dine vsftpd-pakker.