Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2191-1 proftpd-dfsg

Bulletin d'alerte Debian

DSA-2191-1 proftpd-dfsg -- Plusieurs vulnérabilités

Date du rapport :

14 mars 2011

Paquets concernés :

proftpd-dfsg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2008-7265, CVE-2010-3867, CVE-2010-4652.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ProFTPD, un démon FTP d'hébergement virtuel polyvalent.

• CVE-2008-7265

  Le traitement incorrect de la commande ABOR pourrait permettre un déni de service par le biais de consommation importante du microprocesseur.

• CVE-2010-3867

  Plusieurs vulnérabilités de traversée de répertoires ont été découvertes dans le module mod_site_misc.

• CVE-2010-4562

  Une vulnérabilité d'injection SQL a été découverte dans le module mod_sql.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.3.1-17lenny6.

La distribution stable (Squeeze) et la distribution unstable (Sid) ne sont pas concernées, ces vulnérabilités ont été corrigées avant la publication de Debian 6.0 (Squeeze).

Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.