セキュリティ情報 / 2001 / セキュリティ情報 -- DSA-029-2 proftpd

Debian セキュリティ勧告

DSA-029-2 proftpd -- リモートからのサービス不能攻撃とバッファオーバフロー

報告日時:

2001-02-11

影響を受けるパッケージ:

proftpd

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2001-0318, CVE-2001-0136.

詳細:

以下の問題が Debian 2.2 (potato) 収録の proftpd に対して報告されています。

1. Wojciech Purczynski 氏のレポートに記載の通り、SIZE コマンド中にメモリリークがあり、この結果サービス拒否攻撃の弱点があります。 これは proftpd がスコアボードファイルに書けないときに問題になります。 Debian での proftpd の既定の設定では脆弱ではありません。
2. これも Wojciech Purczynski 氏のレポートに記載の通り、USER コマンドに同様のメモリリークがあります。 Debian 2.2 の proftpd はこの脆弱性を持つ可能性があります。 攻撃者によって実装されたメモリを使い切らせ、proftpd デーモンをクラッシュさせることができます。
3. proftpd には Przemyslaw Frasunek 氏により報告されたいくつかのフォーマット文字列の脆弱性があります。 これらに対しての攻撃方法は知られていませんが、前もって用心のため修正されています。

上記の3つの脆弱性は proftpd-1.2.0pre10-2potato1 で修正されています。 すぐに proftpd パッケージをアップグレードすることを薦めます

修正:

DSA-032-1