Säkerhetsbulletin från Debian
DSA-029-2 proftpd -- fjärröverbelastningsattack och potentiellt buffertspill
- Rapporterat den:
- 2001-02-11
- Berörda paket:
- proftpd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2001-0318, CVE-2001-0136.
- Ytterligare information:
- Följande problem har rapporterats för versionen av
proftpd i Debian 2.2 (potato):
- Det finns en minnesläcka i SIZE-kommandot vilket kan leda till en överbelastningsattack (denial of service), vilket rapporterats av Wojciech Purczynski. Det är bara ett problem om proftpd inte kan skriva till sin "scoreboard"-fil; proftpd:s standardinställningar i Debian är inte sårbara.
- En liknande minnesläcka gäller USER-kommandot, vilket också rapporterats av Wojciech Purczynski. Versionen av proftpd i Debian 2.2 är mottaglig för denna sårbarhet; en angripare kan få proftpd-serverprocessen att krascha genom att få slut på tillgängligt minne.
- Det fanns några formatsträngssårbarheter som rapporterades av Przemyslaw Frasunek. Inga kända sätt att utnyttja dem finns, men de har rättats för säkerhets skull.
Alla de tre ovan nämnda sårbarheterna har korrigerats i proftpd-1.2.0pre10-2potato1. Vi rekommenderar att du uppgraderar dit proftpd-paket omedelbart.
- Rättat i:
- DSA-032-1