セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2191-1 proftpd-dfsg

Debian セキュリティ勧告

DSA-2191-1 proftpd-dfsg -- 複数の脆弱性

報告日時:

2011-03-14

影響を受けるパッケージ:

proftpd-dfsg

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2008-7265, CVE-2010-3867, CVE-2010-4652.

詳細:

汎用仮想ホスティング FTP デーモン ProFTPD に、複数の問題が発見されま した。

• CVE-2008-7265

  ABOR コマンドの処理が誤っており、CPU 消費の増加によるサービス拒否 攻撃に繋がる恐れがあります。

• CVE-2010-3867

  mod_site_misc モジュールに複数のディレクトリトラバーサルを許す欠陥が発見されました。

• CVE-2010-4562

  SQL インジェクション脆弱性が mod_sql モジュールに発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.3.1-17lenny6 で修正されています。

安定版 (stable) squeeze と不安定版 (unstable) sid にはこの問題の影響 はありません。この二つについては、Debian 6.0 (squeeze) のリリース前 に修正が行われていたためです。

直ぐに proftpd-dfsg パッケージをアップグレードすることを勧めます。