Рекомендация Debian по безопасности
proftpd -- переполнения буфера в proftpd
- Дата сообщения:
- 11.11.1999
- Затронутые пакеты:
- proftpd
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 650.
- Более подробная информация:
- Версия proftpd, поставляемая в Debian
GNU/Linux 2.1, содержит несколько переполнений буфера, которые могут использоваться удалёнными
злоумышленникам. Ниже приводится краткий список проблем.
- вводные данные, передаваемые пользователем, используются в snprintf() без проверки
- в функции log_xfer() содержится переполнение буфера
- можно вызвать переполнение буфера, используя очень длинный путь
Заметьте, что этот список не полон.
Помимо исправлений проблем безопасности заплата содержит исправление нескольких проблем Y2K.
Дополнительную информацию см. в этом SUSE Security (1999 Sep 0052) сообщении и в BugTraq lists (1999 Sep 0337).
Мы подготовили новый пакет с версией 1.2.0pre9-4, в котором эти проблемы решены, рекомендуем как можно скорее обновить пакет proftpd.
- Исправлено в:
-
- Исходный код:
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
- Sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb