Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2767-1 proftpd-dfsg

Säkerhetsbulletin från Debian

DSA-2767-1 proftpd-dfsg -- överbelastning

Rapporterat den:

2013-09-29

Berörda paket:

proftpd-dfsg

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 723179.
I Mitres CVE-förteckning: CVE-2013-4359.

Ytterligare information:

Kingcope upptäckte att modulerna mod_sftp och mod_sftp_pam i proftpd, en kraftfull modulär FTP/SFTP/FTPS-server, inte validerar indata tillräckligt innan de gör pool-allokeringar. En angripare kan använda denna brist för att utföra ett överbelastningsangrepp mot systemet som kör proftpd (resursförbrukning).

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.3.3a-6squeeze7.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.3.4a-5+deb7u1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era proftpd-dfsg-paket.