Avis du CERT-FR

Objet: Vulnérabilité dans ProFTPd

Gestion du document

Référence	CERTA-2011-AVI-635
Titre	Vulnérabilité dans ProFTPd
Date de la première version	14 novembre 2011
Date de la dernière version	17 novembre 2011
Source(s)	Site du projet ProFTPd

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

ProFTPd 1.3.x.

Résumé

Une vulnérabilité à l'impact non précisé affecte ProFTPd.

Description

Dans ProFTPd, l'utilisation d'un pointeur après libération de la zone mémoire correspondante est exploitable par un utilisateur distant malintentionné pour corrompre la mémoire.

Solution

Les versions 1.3.3g et 1.3.4a ne présentent plus ce défaut.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 2346 du 16 novembre 2011 :

http://www.debian.org/security/2011/dsa-2346

Site du projet ProFTP en date du 11 novembre 2011 :

http://proftpd.org

Référence CVE CVE-2011-4130

https://www.cve.org/CVERecord?id=CVE-2011-4130

Gestion détaillée du document

le 14 novembre 2011: version initiale.
le 17 novembre 2011: ajout de la référence CVE et du bulletin de sécurité Debian.