Debian セキュリティ勧告

DSA-2606-1 proftpd-dfsg -- シンボリックリンク競合

報告日時:

2013-01-13

影響を受けるパッケージ:

proftpd-dfsg

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 697524.
Mitre の CVE 辞書: CVE-2012-6095.

詳細:

FTP サーバ ProFTPd が、設定によってはサーバと物理的に同一のホストの攻撃者がシンボリックリンク攻撃をできる可能性があり、権限の昇格を許すことが発見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.3.3a-6squeeze6 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.3.4a-3 で修正されています。

直ちに proftpd-dfsg パッケージをアップグレードすることを勧めます。