Debians sikkerhedsbulletin
DSA-029-2 proftpd -- fjern-overbelastningsangreb og potentielt buffer-overløb
- Rapporteret den:
- 11. feb 2001
- Berørte pakker:
-
proftpd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2001-0318, CVE-2001-0136.
- Yderligere oplysninger:
- Følgende problemer er blevet rapporteret vedrørende den
version af proftpd som er i Debian 2.2 (potato):
- Der er en hukommelseslæk i SIZE-kommandoen hvilket kan resultere i et
overbelastningsangreb ("denial of service"), rapporterer Wojciech Purczynski.
Det er kun et problem hvis proftpd ikke kan skrive til sin "scoreboard"-fil;
Debians standard-installation af proftpd er ikke sårbar.
- Et lignende hukommelseslæk påvirker USER-kommandoen, rapporterer
Wojciech Purczynski også. proftpd i Debian 2.2 er sårbar overfor dette
problem; en angriber kan få proftpd-daemon'en til at gå ned ved at opbruge
programmets tilgængelige hukommelse.
- Der blev også rapporteret nogle format-streng-svagheder af Przemyslaw
Frasunek. Disse har ingen kendte angreb, men er for en sikkerheds skyld blevet
rettet.
Alle tre ovennævnte sårbarheder er rettet i proftpd-1.2.0pre10-2potato1.
Vi anbefaler at du omgående opgraderer din proftpd-pakke.
- Rettet i:
-
DSA-032-1
