Säkerhetsbulletin från Debian

DSA-2305-1 vsftpd -- överbelastning

Rapporterat den:
2011-09-19
Berörda paket:
vsftpd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 622741, Fel 629373.
I Mitres CVE-förteckning: CVE-2011-0762, CVE-2011-2189.
Ytterligare information:

Två säkerhetsproblem har upptäckts som påverkar vsftpd, en lättviktig, effektiv FTP-server skriven för säkerhet.

  • CVE-2011-2189

    Man har upptäckt att Linuxkärnor < 2.6.35 är märkbart långsammare på att släppa än att skapa nätverksnamnrymder. Som ett resultat av detta och eftersom vsftpd använder det som en säkerhetsförbättring för att tillhandahålla nätverksisolering för anslutningar, är det möjligt att orsaka överbelastning på grund av överdriven minnesallokering av kärnan. Dock så har denna funktionalitet legitima användningsområden och att bakåtanpassa den specifika kärnpatchen är för påträngande. Utöver detta kräver en lokal användare CAP_SYS_ADMIN-möjligheter för att missbruka denna funktionalitet. Därför, som en rättning, har en kontroll av kärnversion lagts till i vsftpd för att inaktivera denna funktion för kärnor < 2.6.35.

  • CVE-2011-0762

    Maksymilian Arciemowicz upptäckte att vsftpd hanterar vissa glob expressions i STAT-kommandon felaktigt. Detta tillåter autentiserad fjärrangripare att utföra överbelastningsangrepp (överdriven CPU- och processslotförbrukning) via skapade STAT-kommandon.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.0.7-1+lenny1.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.2-3+squeeze2. Vänligen notera att CVE-2011-2189 inte påverkar Lenny-versionen.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila utgåvan (Sid) har detta problem rättats i version 2.3.4-1.

Vi rekommenderar att ni uppgraderar era vsftpd-paket.