Bulletin d'alerte Debian
proftpd -- Dépassements de tampon dans proftpd
- Date du rapport :
- 11 novembre 1999
- Paquets concernés :
- proftpd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 650.
- Plus de précisions :
- La version de proftpd qui est fournie dans Debian
GNU/Linux 2.1 contient plusieurs dépassement de tampon potentiellement
exploitables par des attaquants distants. Voici une petite liste des
problèmes :
- l'entrée utilisateur saisie par
snprintf()sans les vérifications nécessaires ; - il y a un dépassement de tampon dans la routine
log_xfer(); - les noms de fichiers trop longs peuvent causer des débordements de mémoire.
Notez que cette liste n'est pas exhaustive.
En plus des corrections de sécurité, une paire de problèmes liés à l'an 2000 a été corrigée.
Lisez cette annonce de sécurité émanant de l'équipe chargée de la sécurité chez SUSE (1999 Sep 0052) ainsi que les listes de BugTraq (1999 Sep 0337), pour de plus amples informations.
Nous avons un nouveau paquet avec la version 1.2.0pre9-4 pour corriger tous ces points et nous recommandons de mettre à jour vos paquets proftpd immédiatement.
- l'entrée utilisateur saisie par
- Corrigé dans :
-
- Source :
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
- Sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb