Рекомендация Debian по безопасности

DSA-2305-1 vsftpd -- отказ в обслуживании

Дата сообщения:
19.09.2011
Затронутые пакеты:
vsftpd
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 622741, Ошибка 629373.
В каталоге Mitre CVE: CVE-2011-0762, CVE-2011-2189.
Более подробная информация:

В vsftpd, упрощённому эффективном FTP-сервере, написанном с целью обеспечения высокой безопасности, были обнаружены две проблемы безопасности.

  • CVE-2011-2189

    Было обнаружено, что ядра Linux < 2.6.35 освобождают сетевые пространства имён значительно медленнее, чем создают. В результате этого, а также потому, что vsftpd использует указанную возможность для улучшения безопасности с целью предоставления сетевой изоляции для соединений, можно вызвать отказ в обслуживании из-за выделения ядром чрезмерного количества памяти. Технически это не является ошибкой в vsftpd, это проблема ядра. Тем не менее, данная функциональность имеет вполне легитимные сценарии использования, а обратный перенос заплаты ядра является чересчур сложным. Кроме того, локальному злоумышленнику требуются права на CAP_SYS_ADMIN для использования указанной функциональности. Следовательно, для исправления проблемы в vsftpd была добавлена специальная проверка версии ядра, чтобы данная функциональность отключалась для ядер < 2.6.35.

  • CVE-2011-0762

    Максимилиан Арцемович обнаружил, что vsftpd неправильно обрабатывает определённые маски в командах STAT. Это позволяет удалённому аутентифицированному злоумышленнику вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП и памяти) с помощью специально сформированных STAT-команд.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.0.7-1+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.3.2-3+squeeze2. Обратите внимание, что CVE-2011-2189 не касается версии в lenny.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid), эта проблема была исправлена в версии 2.3.4-1.

Рекомендуется обновить пакеты vsftpd.