セキュリティ情報 / 1999 / セキュリティ情報 -- proftpd

Debian セキュリティ勧告

proftpd -- proftpd におけるバッファオーバフロー

報告日時:

1999-11-11

影響を受けるパッケージ:

proftpd

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 650.

詳細:

Debian GNU/Linux 2.1 にて配布されている proftpd のバージョンにはいくつかのバッファオーバランがあり、 遠隔地からの攻撃によって root 権限を奪取される可能性があります。 簡単にまとめると、こちらが抱えている問題には以下のようなものがあります。

• 十分なチェックなしに、ユーザ入力が snprintf() で使われてしまう。
• log_xfer() ルーチンでオーバフローが起る。
• 極めて長いパスネームを使うとオーバフローが起りえる。

これらが問題の一部であることにはご注意ください。

このセキュリティ修正に付け加えて 2000 年問題への対処も行なわれました。

補足情報として SUSE Security (1999 Sep 0052) announcment や BugTraq lists (1999 Sep 0337) をご覧ください。

この問題に対処した新パッケージをバージョン 1.2.0pre9-4 で用意しました。 お使いの proftpd を直ちにアップグレードすることをお勧めします。

修正:

ソース:

http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz

http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc

http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz

Alpha:

http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb

i386:

http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb

m68k:

http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb

Sparc:

http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb