[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55767] Re: [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:55767] Re: [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update
Date: Wed, 16 Nov 2011 21:35:45 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.3 required=10.0 tests=AWL,KI autolearn=disabled version=3.2.5
References: <4EC398F9.6040005@xxxxxxxxxxxx>
Message-id: <4EC3AE1F.8030902@xxxxxxxxxxxx>
X-mail-count: 55767
User-agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10.5; ja-JPM; rv:1.9.2.24) Gecko/20111103 Thunderbird/3.1.16

かねこです。

あー、やっぱりまちがっているな。

CVE-2011-3389 で正しいです。内容は、
「STARTTLS により暗号化が開始された後に暗号化前の入力バッファのデータを使用
  する欠陥があり、BEAST 攻撃が可能です。これはCVE-2011-0411 類似の問題です。」

です。

(11/11/16 20:05), Seiji Kaneko -san wrote:
> かねこです。
> URL 等は Debian-security-announce メーリングリストの元記事を確認
> ください。
> 
> #内容変なので proftpd のリリースノートを見ました。間違っている可能性アリ。
> ------>8------------>8------------>8------------>8------------>8-
> - -------------------------------------------------------------------------
> Debian Security Advisory DSA-2346-1                   security@debian.org
> http://www.debian.org/security/                            Florian Weimer
> November 15, 2011                      http://www.debian.org/security/faq
> - -------------------------------------------------------------------------
> 
> Package        : proftpd-dfsg
> Vulnerability  : 複数
> Problem type   : リモート
> Debian-specific: いいえ
> CVE ID         : CVE-2011-4130
> Debian Bug     : 648373
> 
> 複数の欠陥が、FTP サーバ ProFTPD に発見されました。
> 
> CVE-2011-3389
> 	STARTTLS により暗号化が開始された後に暗号化前の入力バッファの
> 	データを使用する欠陥に対する BEAST 攻撃の OpenSSL の防御機能を、
> 	mod_tls で有効化できるよう変更を行っています。これは
> 	CVE-2011-0411 類似の問題です。
> 
> CVE-2011-4130
> 	ProFTPD は例外的な条件下で応答メモリプールを開放後に使用する
> 	ため、リモートからのコード実行に繋がる可能性があります (lenny
>          収録の版にはこの問題はありません)。
> 
> 旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
> バージョン 1.3.1-17lenny8 で修正されています。
> 
> 安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
> ジョン 1.3.3a-6squeeze4 で修正されています。
> 
> テスト版 (wheezy) および不安定版 (unstable) ディストリビューション
> では、この問題はバージョン 1.3.4~rc3-2 で修正されています。
> 
> 直ぐに proftpd-dfsg パッケージをアップグレードすることを勧めます。
> 
> Debian Security Advisories に関する説明、これらの更新をシステムに適用
> する方法、FAQ などは http://www.debian.org/security/ を参照ください。
> 
> Mailing list: debian-security-announce@lists.debian.org
> ------>8------------>8------------>8------------>8------------>8-


-- 
Seiji Kaneko

References:
- [debian-users:55766] [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update
  - From: Seiji Kaneko

Prev by Date: [debian-users:55766] [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update
Next by Date: [debian-users:55768] Re: クロスコンパイル環境でwarning
Previous by thread: [debian-users:55766] [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsg security update
Next by thread: [debian-users:55771] [Translate] [SECURITY] [DSA 2346-2] proftpd-dfsg regression fix
Index(es):
- Date
- Thread