Aviso de seguridad de Debian
proftpd -- desbordamientos de búfer en proftpd
- Fecha del informe:
- 11 de nov de 1999
- Paquetes afectados:
- proftpd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 650.
- Información adicional:
- La versión de proftpd distribuída con Debian GNU/Linux
2.1 tenía algunos desbordamientos de seguridad que podían ser explotados por
atacantes remotos. Un breve lista de los problemas:
- la entrada de usuario la usaba snprintf() sin suficientes controles
- había un desbordamiento de búfer en la rutina log_xfer()
- se podía desbordar un búfer usando nombres de rutas muy largas
Fíjese en que esta lista no es exhaustiva.
Para completar las reparaciones de seguridad se arreglaron algunos problemas referentes al efecto 2000.
Vea este anuncio de seguridad de SUSE (0052, de septiembre de 1999) y las listas de BugTraq (0337, de septiembre de 1999), para obtener información adicional.
Hemos hecho un paquete nuevo con la versión 1.2.0pre9-4 para corregir estos puntos, y le recomendamos que actualice su paquete proftpd inmediatamente.
- Arreglado en:
-
- Fuentes:
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
- Sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb