Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en proftpd-dfsg |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | proftpd-dfsg |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en proftpd-dfsg. Las vulnerabilidades son descritas a continuación: CVE-2008-7265: la vulnerabilidad reside en el manejo incorrecto del comando ABOR. Un atacante podría causar un ataque de denegación de servicio mediante métodos desconocidos. CVE-2010-3867: la vulnerabilidad reside el módulo mod_site_misc. Un atacante remoto podría crear y borrar directorios, crear enlaces simbólicos mediante secuencias transversales mediante diferentes comandos. CVE-2010-4652: La vulnerabilidad reside en el desbordamiento de búfer de la pila en la función sql_prepare_where en ProFTPD versiones anteriores a 1.3.3d, cuando mod_sql se encuentra activo. Un atacante remoto podría causar un ataque de denegación de servicio y posiblemente ejecutar código arbitrario mediante un nombre de usuario que contenga sustituciones de tags especialmente manipuladas, las cuales no son manejadas durante la construcción de consultas SQL. |
|
Solución |
|
Actualización de software Debian (DSA-2191-1) Para la distribución estable (squeeze), el problema no afecta. Para la distribución anterior a squeeze (lenny), el problema ha sido resuelto en la versión 1.3.1-17lenny6. http://www.debian.org/security/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2008-7265 CVE-2010-3867 CVE-2010-4652 |
BID | |
Recursos adicionales |
|
Debian Security Advisory (DSA-2191-1) http://lists.debian.org/debian-security-announce/2011/msg00058.htmltml |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2011-03-18 |