Debian-Sicherheitsankündigung
proftpd -- Pufferüberlauf in proftpd
- Datum des Berichts:
- 11. Nov 1999
- Betroffene Pakete:
- proftpd
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 650.
- Weitere Informationen:
-
Die mit GNU/Linux 2.1 ausgelieferte Version von proftpd hatte eine Reihe von Pufferüberläufen, die von entfernen Angreifern ausgenützt werden konnten. Eine kurze Liste der Probleme:
- Benutzereingaben in snprintf() wurden ohne ausreichende Prüfung verwendet
- es gab einen Überlauf in der log_xfer()-Routine
- durch sehr lange Pfadnamen konnte man einen Puffer zum Überlauf bringen
Bitte beachten Sie, dass diese Liste nicht als vollständig erachtet wird.
Neben den Sicherheitsproblemen wurden ebenfalls eine Reihe von Jahr-2000-Problemen behoben.
Lesen Sie die SuSE-Sicherheits-Ankündigung (1999 Sep. 0052) und BugTraq-Listen (1999 Sep. 0337) für weitere Informationen.
Wir haben ein neues Paket mit Version 1.2.0pre9-4 erstellt, das diese Punkte behandelt, und wir empfehlen, dass Sie das Paket umgehend aktualisieren.
- Behoben in:
-
- Quellcode:
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
- Sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb