セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2346-2 proftpd-dfsg

Debian セキュリティ勧告

DSA-2346-2 proftpd-dfsg -- 複数の脆弱性

報告日時:

2011-11-16

影響を受けるパッケージ:

proftpd-dfsg

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 648373.
Mitre の CVE 辞書: CVE-2011-4130.

詳細:

複数の欠陥が、FTP サーバ ProFTPD に発見されました。

• (No CVE id)

  STARTTLS により暗号化が開始された後に暗号化前の入力バッファのデータを使用 する欠陥があり、BEAST 攻撃が可能です。これは CVE-2011-0411 類似の問題です。

• CVE-2011-4130

  ProFTPD は例外的な条件下で応答メモリプールを開放後に使用する ため、リモートからのコード実行に繋がる可能性があります (lenny 収録の版にはこの問題はありません)。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.3.1-17lenny9 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.3.3a-6squeeze4 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 1.3.4~rc3-2 で修正されています。

直ぐに proftpd-dfsg パッケージをアップグレードすることを勧めます。