Bulletin d'alerte Debian

DLA-2115-2 proftpd-dfsg regression update -- Mise à jour de sécurité pour LTS

Date du rapport :
2 mars 2020
Paquets concernés :
proftpd-dfsg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-9273.
Plus de précisions :

Il a été découvert qu’il existait une régression dans le précédent correctif pour une vulnérabilité d’utilisation de mémoire après libération dans le serveur FTP proftpd-dfsg.

L’exploitation de la vulnérabilité originale dans la gestion de la mémoire mutuelle pouvait permettre à un attaquant distant d’exécuter du code arbitraire sur le système affecté. Cependant, le correctif publié dans proftpd-dfsg, version 1.3.5e+r1.3.5-2+deb8u6, possédait une régression concernant le traitement du formatage des journaux.

  • CVE-2020-9273

    Dans ProFTPD 1.3.7, il était possible de corrompre la mémoire mutuelle en interrompant le canal de transfert de données. Cela provoquait une utilisation de mémoire après libération dans alloc_pool dans pool.c, et une possible exécution de code à distance.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.5e+r1.3.5-2+deb8u7.

Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.