Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2767-1 proftpd-dfsg

Debians sikkerhedsbulletin

DSA-2767-1 proftpd-dfsg -- lammelsesangreb

Rapporteret den:

29. sep 2013

Berørte pakker:

proftpd-dfsg

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 723179.
I Mitres CVE-ordbog: CVE-2013-4359.

Yderligere oplysninger:

Kingcope opdagede at modulerne mod_sftp og mod_sftp_pam i proftpd, en avanceret, modulær FTP-/SFTP-/FTPS-server, ikke på korrekt vis validerede indata før pool-allokeringer blev gennemført. En angriber kunne anvende fejlen til at iværksætte lammelsesangreb (denial of service) mod systemet, der kører proftpd (ressourceudmattelse).

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.3.3a-6squeeze7.

I den stabile distribution (wheezy), er dette problem rettet i version 1.3.4a-5+deb7u1.

I distributionen testing (jessie) og i den ustabile (sid) distributions, vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine proftpd-dfsg-pakker.