[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:55766] [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
#内容変なので proftpd のリリースノートを見ました。間違っている可能性アリ。
------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2346-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
November 15, 2011 http://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : proftpd-dfsg
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-4130
Debian Bug : 648373
複数の欠陥が、FTP サーバ ProFTPD に発見されました。
CVE-2011-3389
STARTTLS により暗号化が開始された後に暗号化前の入力バッファの
データを使用する欠陥に対する BEAST 攻撃の OpenSSL の防御機能を、
mod_tls で有効化できるよう変更を行っています。これは
CVE-2011-0411 類似の問題です。
CVE-2011-4130
ProFTPD は例外的な条件下で応答メモリプールを開放後に使用する
ため、リモートからのコード実行に繋がる可能性があります (lenny
収録の版にはこの問題はありません)。
旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 1.3.1-17lenny8 で修正されています。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 1.3.3a-6squeeze4 で修正されています。
テスト版 (wheezy) および不安定版 (unstable) ディストリビューション
では、この問題はバージョン 1.3.4~rc3-2 で修正されています。
直ぐに proftpd-dfsg パッケージをアップグレードすることを勧めます。
Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------