Säkerhetsbulletin från Debian
proftpd -- buffertspill i proftpd
- Rapporterat den:
- 1999-11-11
- Berörda paket:
- proftpd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 650.
- Ytterligare information:
- Versionen av proftp som medföljde Debian GNU/Linux 2.1
har flera buffertspillproblem som kan utnyttjas för attacker utifrån.
En kort lista över problemen:
- användarindata användes i snprintf() utan tillräckliga kontroller
- det fanns spill i log_xfer()-rutinen
- du kunde spilla bufferten genom att använda långa sökvägar
Notera att denna lista inte täcker alla problem.
Förutom säkerhetsrättningarna har även några år 2000-problem åtgärdats.
Se säkerhetsbulletinen från SUSE och BugTraq-listan för ytterligare information.
Vi har gjort ett nytt paket med version 1.2.0pre9-4 vilket åtgärdar dessa problem, och vi rekommenderar att du uppgraderar ditt proftpd-paket omedelbart.
- Rättat i:
-
- Källkod:
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc
- http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
- Sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb