Информация по безопасности / 2001 / Информация о безопасности -- DSA-029-2 proftpd

Рекомендация Debian по безопасности

DSA-029-2 proftpd -- удалённый отказ в обслуживании и потенциальное переполнение буфера

Дата сообщения:

11.02.2001

Затронутые пакеты:

proftpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2001-0318, CVE-2001-0136.

Более подробная информация:

Было сообщено о следующих програмах в версии proftpd, поставляемой в составе Debian 2.2 (potato):

1. Войчич Пуржински сообщил об утечке памяти в команде SIZE, которая может приводить к отказу в обслуживании. Эта проблема возникает только в том случае, если proftpd не может выполнить запись в файл доски счёта; настройки proftpd по умолчанию в Debian не подвержены этой проблеме.
2. Войчич Пуржински сообщил о похожей утечке памяти в команде USER. Считается, что версия proftpd в Debian 2.2 содержит эту уязвимость; злоумышленник может вызвать аварийное завершение работы службы proftpd путём использования всей доступной ей памяти.
3. Пржемыслав Фрасунек сообщил о нескольких уязвимостях форматной строки. О существовании эксплоитов ничего не известно, но эти уязвимости всё равно были исправлены в виде предосторожности.

Все три указанных уязвимости были исправлены в пакете proftpd-1.2.0pre10-2potato1. Рекомендуется как можно скорее обновить пакет proftpd.

Исправлено в:

DSA-032-1