Debian GNU/Linux 2.1 にて配布されている proftpd
のバージョンにはいくつかのバッファオーバランがあり、
遠隔地からの攻撃によって root 権限を奪取される可能性があります。
簡単にまとめると、こちらが抱えている問題には以下のようなものがあります。
- 十分なチェックなしに、ユーザ入力が snprintf() で使われてしまう。
- log_xfer() ルーチンでオーバフローが起る。
- 極めて長いパスネームを使うとオーバフローが起りえる。
これらが問題の一部であることにはご注意ください。
このセキュリティ修正に付け加えて 2000 年問題への対処も行なわれました。
この問題に対処した新パッケージをバージョン 1.2.0pre9-4 で用意しました。
お使いの proftpd を直ちにアップグレードすることをお勧めします。
#use wml::debian::security