Bulletin d'alerte Debian
DSA-029-2 proftpd -- Déni de service à distance & dépassement de tampon potentiel
- Date du rapport :
- 11 février 2001
- Paquets concernés :
-
proftpd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2001-0318, CVE-2001-0136.
- Plus de précisions :
- Les problèmes suivants ont été rapportés pour la version
de proftpd dans Debian 2.2 (Potato) :
- Il y a une fuite mémoire dans la commande SIZE dont un déni de service
peut résulter, comme le dit Wojciech Purczynski. Ceci est un souci seulement
si proftpd ne peut pas écrire dans son fichier récapitulatif ; la
configuration par défaut de proftpd dans Debian n'est pas vulnérable ;
- Une fuite mémoire similaire affecte la commande USER, aussi rapportée par
Wojciech Purczynski. Le proftpd dans Debian 2.2 est peut-être
vulnérable ; un attaquant peut faire planter le démon proftpd en épuisant
sa mémoire disponible ;
- Il y a aussi quelques failles de type format de chaîne de caractères
rapportées par PrzemyslawvFrasunek. Celles-ci n'ont pas d'exploitations
connues mais ont été corrigées par précaution.
Toutes ces failles ci-dessus ont été corrigées dans
proftpd-1.2.0pre10-2potato1. Nous vous recommandons de mettre à jour vos
paquets proftpd immédiatement.
- Corrigé dans :
-
DSA-032-1
