Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
ProFTPD FTP Server
(1.2.0pre1, 1.3.1rc1)
Описание
Переполнение буфера в функции tls_x509_name_oneline в модуле mod_tls при использовании в ProFTPD позволяет злоумышленникам, действующим удаленно, выполнять произвольный код, используя большое значение аргумента длины данных.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.proftpd.org/
http://www.proftpd.org/
Ссылки
BUGTRAQ (20061121 Re: [ MDKSA-2006:217 ] - Updated proftpd packages fix vulnerabilities): http://www.securityfocus.com/archive/1/archive/1/452228/100/100/threaded
BUGTRAQ (20061128 ProFTPD mod_tls pre-authentication buffer overflow): http://www.securityfocus.com/archive/1/archive/1/452872/100/0/threaded
FULLDISC (20061128 ProFTPD mod_tls pre-authentication buffer overflow): http://lists.grok.org.uk/pipermail/full-disclosure/2006-November/050935.html
http://elegerov.blogspot.com/2006/10/do-you-remember-2-years-old-overflow.html
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=214820
FRSIRT (ADV-2006-4745): http://www.frsirt.com/english/advisories/2006/4745
DEBIAN (DSA-1222): http://www.debian.org/security/2006/dsa-1222
BUGTRAQ (20061129 Re: ProFTPD mod_tls pre-authentication buffer overflow): http://www.securityfocus.com/archive/1/archive/1/452993/100/100/threaded
GENTOO (GLSA-200611-26): http://www.gentoo.org/security/en/glsa/glsa-200611-26.xml
MANDRIVA (MDKSA-2006:217-1): http://www.mandriva.com/security/advisories?name=MDKSA-2006:217-1
SLACKWARE (SSA:2006-335-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.502491
BID (21326): http://www.securityfocus.com/bid/21326
XF (proftpd-modtls-bo(30554)): http://xforce.iss.net/xforce/xfdb/30554
TRUSTIX (2006-0066): http://www.trustix.org/errata/2006/0066
BUGTRAQ (20061128 ProFTPD mod_tls pre-authentication buffer overflow): http://www.securityfocus.com/archive/1/archive/1/452872/100/0/threaded
FULLDISC (20061128 ProFTPD mod_tls pre-authentication buffer overflow): http://lists.grok.org.uk/pipermail/full-disclosure/2006-November/050935.html
http://elegerov.blogspot.com/2006/10/do-you-remember-2-years-old-overflow.html
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=214820
FRSIRT (ADV-2006-4745): http://www.frsirt.com/english/advisories/2006/4745
DEBIAN (DSA-1222): http://www.debian.org/security/2006/dsa-1222
BUGTRAQ (20061129 Re: ProFTPD mod_tls pre-authentication buffer overflow): http://www.securityfocus.com/archive/1/archive/1/452993/100/100/threaded
GENTOO (GLSA-200611-26): http://www.gentoo.org/security/en/glsa/glsa-200611-26.xml
MANDRIVA (MDKSA-2006:217-1): http://www.mandriva.com/security/advisories?name=MDKSA-2006:217-1
SLACKWARE (SSA:2006-335-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.502491
BID (21326): http://www.securityfocus.com/bid/21326
XF (proftpd-modtls-bo(30554)): http://xforce.iss.net/xforce/xfdb/30554
TRUSTIX (2006-0066): http://www.trustix.org/errata/2006/0066