Multiples vulnérabilités dans ProFTPD

Gestion du document

Référence	CERTA-2005-AVI-282
Titre	Multiples vulnérabilités dans ProFTPD
Date de la première version	27 juillet 2005
Date de la dernière version	05 septembre 2005
Source(s)	Mise à jour de sécurité ProFTPD du 24 juillet 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Atteinte à la confidentialité des données
Déni de service
Exécution de code arbitraire

Systèmes affectés

ProFTPD 1.2.x ;
ProFTPD 1.3.x.

Description

ProFTPD est un serveur ftp.

Deux vulnérabilités de type chaine de format dans ProFTPD permettent à un utlisateur distant mal intententionné de porter atteinte à la confidentialité des données, de réaliser un déni de service ou d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA-795-2 du 01 septembre 2005 :

http://www.debian.org/security/2005/dsa-795

Bulletin de sécurité Gentoo GLSA 200508-02 du 01 août 2005 :

http://www.gentoo.org/security/en/glsa/glsa-200508-02.xml

Bulletin de sécurité Mandriva MDKSA-2005:140 :

http://www.mandriva.com/security/advisories?name=MDKSA-2005:140

Bulletin de sécurité ProFTPD du 24 juillet 2005 :

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.0rc2

Mise à jour de sécurité ProFTP 1.3.0rc2 :

http://www.proftpd.org/download.html

Gestion détaillée du document

le 27 juillet 2005: version initiale.
le 02 août 2005: ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-02 et à la référence CVE CAN-2005-2390.
le 17 août 2005: ajout de la référence au bulletin de sécurité Mandriva.
le 05 septembre 2005: ajout de la référence au bulletin de sécurité Debian DSA-795-2.

Avis du CERT-FR