Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2346-2 proftpd-dfsg

Bulletin d'alerte Debian

DSA-2346-2 proftpd-dfsg -- Plusieurs vulnérabilités

Date du rapport :

16 novembre 2011

Paquets concernés :

proftpd-dfsg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 648373.
Dans le dictionnaire CVE du Mitre : CVE-2011-4130.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ProFTPD, un serveur FTP.

• ProFTPD n'utilise pas correctement les données d'un tampon d'entrée non chiffré après l'activation du chiffrement dans STARTTLS, un problème similaire à CVE-2011-0411.

• CVE-2011-4130

  ProFTPD utilise un pool de réponse après l'avoir libéré sous certaines conditions exceptionnelles, permettant éventuellement l'exécution de code à distance (la version de Lenny n'est pas concernée par ce problème).

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.3.1-17lenny9.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.3.3a-6squeeze4.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.3.4~rc3-2.

Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.