Bulletin d'alerte Debian

proftpd -- Dépassements de tampon dans proftpd

Date du rapport:

11 novembre 1999

Paquets concernés:

proftpd

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 650.

Pour plus d'information:

La version de proftpd qui est fournie dans Debian GNU/Linux 2.1 contient plusieurs dépassement de tampon potentiellement exploitables par des attaquants distants. Voici une petite liste des problèmes :

l'entrée utilisateur saisie par snprintf() sans les vérifications nécessaires ;
il y a un dépassement de tampon dans la routine log_xfer() ;
les noms de fichiers trop longs peuvent causer des débordements de mémoire.

Notez que cette liste n'est pas exhaustive.

En plus des corrections de sécurité, une paire de problèmes liés à l'an 2000 a été corrigée.

Lisez cette annonce de sécurité émanant de l'équipe chargée de la sécurité chez SUSE (1999 Sep 0052) ainsi que les listes de BugTraq (1999 Sep 0337), pour de plus amples informations.

Nous avons un nouveau paquet avec la version 1.2.0pre9-4 pour corriger tous ces points et nous recommandons de mettre à jour vos paquets proftpd immédiatement.

Corrigé dans:

Source :: http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.diff.gz; http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9-4.dsc; http://security.debian.org/dists/slink/updates/source/proftpd_1.2.0pre9.orig.tar.gz
Alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/proftpd_1.2.0pre9-4_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/proftpd_1.2.0pre9-4_i386.deb
m68k:: http://security.debian.org/dists/slink/updates/binary-m68k/proftpd_1.2.0pre9-4_m68k.deb
Sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/proftpd_1.2.0pre9-4_sparc.deb