Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2346-2 proftpd-dfsg

Debians sikkerhedsbulletin

DSA-2346-2 proftpd-dfsg -- flere sårbarheder

Rapporteret den:

16. nov 2011

Berørte pakker:

proftpd-dfsg

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 648373.
I Mitres CVE-ordbog: CVE-2011-4130.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i ProFTPD, en ftp-server:

• (Ingen CVE-id)

  ProFTPD anvendte på ukorrekt vis data fra en ukrypteret inddatabuffer, efter kryptering var aktiveret med STARTTLS, et problem svarende til CVE-2011-0411.

• CVE-2011-4130

  ProFTPD anvendte en svarpool efter at have frigivet den under særlige omstændigheder, muligvis førende til fjernudførelse af kode. (Versionen i lenny er ikke påvirket af dette problem.)

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.3.1-17lenny9.

I den stabile distribution (squeeze), er dette problem rettet i version 1.3.3a-6squeeze4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.3.4~rc3-2.

Vi anbefaler at du opgraderer dine proftpd-dfsg-pakker.