Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2767-1 proftpd-dfsg

Bulletin d'alerte Debian

DSA-2767-1 proftpd-dfsg -- Déni de service

Date du rapport :

29 septembre 2013

Paquets concernés :

proftpd-dfsg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 723179.
Dans le dictionnaire CVE du Mitre : CVE-2013-4359.

Plus de précisions :

Kingcope a découvert que les modules mod_sftp et mod_sftp_pam de proftpd, un serveur FTP/SFTP/FTPS puissant et modulaire, ne valident pas correctement les entrées avant de faire des allocations groupées. Un attaquant peut utiliser ce défaut pour mener des attaques par déni de service contre le système exécutant proftpd (par épuisement de ressources).

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.3.3a-6squeeze7.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.3.4a-5+deb7u1.

Pour les distributions testing (Jessie) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.