Debian-Sicherheitsankündigung
DSA-029-2 proftpd -- Entferntes DoS & potenzieller
Pufferüberlauf
- Datum des Berichts:
- 11. Feb 2001
- Betroffene Pakete:
-
proftpd
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2001-0318, CVE-2001-0136.
- Weitere Informationen:
- Die folgenden Probleme wurden für die Version von proftpd
in Debian 2.2 (Potato) berichtet:
- Es gibt ein Speicherleck im SIZE-Befehl, der zu einem denial-of-service
führen kann, wie Wojciech Purczynski berichtet hat. Das ist nur ein Problem,
wenn proftpd nicht in seine scoreboard-Datei schreiben kann; die
Standardkonfiguration von proftpd in Debian ist nicht verwundbar.
- Ein ähnliches Speicherleck betrifft den USER-Befehl, ebenfalls von
Wojciech Purczynski berichtet. Der proftpd in Debian 2.2 ist für diese
Verwundbarkeit anfällig; ein Angreifer kann den proftpd Daemon abstürzen
lassen, indem er dessen Speicher aufbraucht.
- Es gab einige Format-Zeichenketten-Verwundbarkeiten, die von Przemyslaw
Frasunek berichtet wurden. Zu diesen sind keine bekannten Ausnutzungen
vorhanden, aber sie wurden vorsorglich korrigiert.
Alle drei der oben genannten Verwundbarkeiten wurden in
proftpd-1.2.0pre10-2potato1 behoben. Wir empfehlen Ihnen, Ihr proftpd Paket
unverzüglich zu aktualisieren.
- Behoben in:
-
DSA-032-1
