Aviso de seguridad de Debian
DSA-029-2 proftpd -- DdS remoto & desbordamiento de búfer
potencial
- Fecha del informe:
- 11 de feb de 2001
- Paquetes afectados:
-
proftpd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0318, CVE-2001-0136.
- Información adicional:
- Se ha informado de los siguientes problemas en la versión
de proftpd en Debian 2.2 (potato):
- Hay una debilidad de memoria en el comando SIZE que puede resultar en una
denegación de servicio, tal y como informó Wojciech Purczynski. Esto es sólo
un problema si proftpd no puede escribir en su archivo de anotaciones; la
configuración por defecto en Debian no es vulnerable.
- Una debilidad de memoria similar afecta al comando USER, también reportado
por Wojciech Purczynski. El proftpd de Debian 2.2 es susceptible de esta
vulnerabilidad; un atacante puede causar que el demonio proftpd caiga haciendo
que se colapse su memoria disponible.
- Había algunas vulnerabilidades de cadena de formato de las que informó
Przemyslaw Frasunek. No hay explotaciones conocidas, pero han sido corregidas
por precaución.
Las tres vulnerabilidades anteriores han sido corregidas en
proftpd-1.2.0pre10-2potato1. Le recomendmos que actualice su paquete proftpd
inmediatamente.
- Arreglado en:
-
DSA-032-1
