Информация по безопасности / 2011 / Информация о безопасности -- DSA-2346-2 proftpd-dfsg

Рекомендация Debian по безопасности

DSA-2346-2 proftpd-dfsg -- несколько уязвимостей

Дата сообщения:

16.11.2011

Затронутые пакеты:

proftpd-dfsg

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 648373.
В каталоге Mitre CVE: CVE-2011-4130.

Более подробная информация:

В ProFTPD, сервере FTP, было обнаружено несколько уязвимостей:

• (Идентификатор CVE отсутствует)

  ProFTPD неправильно использует данные из незашифрованного буфера входных данных после включения шифрования с помощью STARTTLS. Эта проблема схожа с CVE-2011-0411.

• CVE-2011-4130

  ProFTPD использует пул ответов после его освобождения при необычных условиях, что может приводить к выполнению удалённого кода. (Версия в lenny не подвержена этой проблеме.)

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.3.1-17lenny9.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.3.3a-6squeeze4.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.3.4~rc3-2.

Рекомендуется обновить пакеты proftpd-dfsg.