Multiples vulnérabilités dans ProFTPD

Gestion du document

Référence	CERTA-2005-AVI-282-003
Titre	Multiples vulnérabilités dans ProFTPD
Date de la première version	27 juillet 2005
Date de la dernière version	05 septembre 2005
Source(s)	Mise à jour de sécurité ProFTPD du 24 juillet 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
déni de service ;
atteinte à la confidentialité des données.

Systèmes affectés

ProFTPD 1.2.x ;
ProFTPD 1.3.x.

Description

ProFTPD est un serveur ftp.

Deux vulnérabilités de type chaine de format dans ProFTPD permettent à un utlisateur distant mal intententionné de porter atteinte à la confidentialité des données, de réaliser un déni de service ou d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité ProFTPD du 24 juillet 2005 :

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.0rc2

Mise à jour de sécurité ProFTP 1.3.0rc2 :
```
http://www.proftpd.org/download.html
```
Bulletin de sécurité Gentoo GLSA 200508-02 du 01 août 2005 :
```
http://www.gentoo.org/security/en/glsa/glsa-200508-02.xml
```

Bulletin de sécurité Mandriva MDKSA-2005:140 :

http://www.mandriva.com/security/advisories?name=MDKSA-2005:140

Bulletin de sécurité Debian DSA-795-2 du 01 septembre 2005 :
```
http://www.debian.org/security/2005/dsa-795
```

Référence CVE CAN-2005-2390 :

https://www.cve.org/CVERecord?id=CAN-2005-2390

Gestion détaillée du document

le 27 juillet 2005: version initiale.

le 02 août 2005: ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-02 et à la référence CVE CAN-2005-2390.

le 17 août 2005: ajout de la référence au bulletin de sécurité Mandriva.

le 05 septembre 2005: ajout de la référence au bulletin de sécurité Debian DSA-795-2.

Avis du CERT-FR

Objet: Multiples vulnérabilités dans ProFTPD