Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2346-2 proftpd-dfsg

Säkerhetsbulletin från Debian

DSA-2346-2 proftpd-dfsg -- flera sårbarheter

Rapporterat den:

2011-11-16

Berörda paket:

proftpd-dfsg

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 648373.
I Mitres CVE-förteckning: CVE-2011-4130.

Ytterligare information:

Flera sårbarheter har upptäckts i ProFTPD, en FTP-server:

• (Saknar CVE id)

  ProFTPD använder felaktigt data från en icke kryptera indatabuffer efter att kryptering har aktiverats med STARTTLS, ett problem liknande CVE-2011-0411.

• CVE-2011-4130

  ProFTPD använder en svarspool efter den har befriats under exceptionella omständigheter, vilket kan leda till körning av fjärrkod. (Versionen i Lenny påverkas inte av detta problem.)

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.3.1-17lenny9.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.3.3a-6squeeze4.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har detta problem rättats i version 1.3.4~rc3-2.

Vi rekommenderar att ni uppgraderar era proftpd-dfsg-paket.