Debians sikkerhedsbulletin

DSA-2346-2 proftpd-dfsg -- flere sårbarheder

Rapporteret den:
16. nov 2011
Berørte pakker:
proftpd-dfsg
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 648373.
I Mitres CVE-ordbog: CVE-2011-4130.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i ProFTPD, en ftp-server:

  • (Ingen CVE-id)

    ProFTPD anvendte på ukorrekt vis data fra en ukrypteret inddatabuffer, efter kryptering var aktiveret med STARTTLS, et problem svarende til CVE-2011-0411.

  • CVE-2011-4130

    ProFTPD anvendte en svarpool efter at have frigivet den under særlige omstændigheder, muligvis førende til fjernudførelse af kode. (Versionen i lenny er ikke påvirket af dette problem.)

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.3.1-17lenny9.

I den stabile distribution (squeeze), er dette problem rettet i version 1.3.3a-6squeeze4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.3.4~rc3-2.

Vi anbefaler at du opgraderer dine proftpd-dfsg-pakker.