Debian セキュリティ勧告

DSA-2305-1 vsftpd -- サービス拒否攻撃

報告日時:
2011-09-19
影響を受けるパッケージ:
vsftpd
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 622741, バグ 629373.
Mitre の CVE 辞書: CVE-2011-0762, CVE-2011-2189.
詳細:

セキュリティに優れ、軽量で効率的な FTP サーバ vsftpd に影響する二つのセキュリティ欠陥 が発見されました。

  • CVE-2011-2189

    Linux カーネルの 2.6.35 以前では、ネットワーク名前空間の作成より 解放が大幅に遅いことが発見されました。この問題と、vsftpd がこの機 能を接続のネットワーク分離を提供するためのセキュリティ機能拡張と して使っているため、カーネルでのメモリの過剰消費を招くサービス拒 否攻撃を起こすことが可能です。これは技術的には vsftpd というより はカーネルの問題ですが、この振る舞いには妥当な理由もあり、この問 題に対処したカーネルパッチをバックポートすることは影響が大きすぎ ると判断されました。また、ローカルの攻撃者からこの機能を悪用する には CAP_SYS_ADMIN 権限が必要です。このことを総合して、修正として vsftpd 側でカーネルのバージョンチェックを行い、3.6.35 以前のカー ネルではこの機能を無効化するようにしました。

  • CVE-2011-0762

    Maksymilian Arciemowicz さんにより、vsftpd が STAT コマンド処理で ある種の glob 表記の扱いを誤っていることが発見されました。この欠 陥により、リモートの認証済みのユーザが細工した STAT コマンドを用 いて、サービス拒否攻撃 (CPU の過度の使用とプロセステーブル使い尽 くし) を実行可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 2.0.7-1+lenny1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.3.2-3+squeeze2 で修正されています。なお CVE-2011-2189 はlenny 収録の版には影響がありません。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近 く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.3.4-1 で修正されています。

直ぐに vsftpd パッケージをアップグレードすることを勧めます。