[Generic/ProFTPd] zwei Schwachstellen in ProFTP 1.3.0a
(2006-12-04 17:05:26.201947+00)
Quelle:
http://www.debian.org/security/2006/dsa-1222
Eine Pufferüberlaufschwachstelle im Modul mod_tls
für
ProFTP der erst kürzlich veröffentlichten Version 1.3.0a und früher kann
von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit
den Privilegien des ProFTP-Daemons auf dem beherbergenden Rechnersystem
auszuführen (CVE-2006-6170).
Eine weitere Pufferüberlaufschwachstelle in den Routinen zur
Verarbeitung von FTP-Kommandos kann offenbar von einem Angreifer dazu
ausgenutzt werden, den Dienst in einen unbenutzbaren Zustand zu
versetzen (Denial-of-Service) und potentiell beliebigen
Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dies
ist jedoch umstritten, insbesondere die ProFTP-Entwickler zweifeln
an der Ausnutzbarkeit. Sie argumentieren, dass die relevanten
Speicherbereiche vor Wiederverwendung explizit überschrieben würden und
daher nicht für einen Angriff ausgenutzt werden könnten. (CVE-2006-6171)
(og)
Weitere Artikel zu diesem Thema:
- [Generic/ProFTPd] Schwachstelle in ProFTP 1.3.0 (2006-11-28)
Eine off-by-one-Schwachstelle im verbreiteten FTP-Serversystem ProFTP für UNIX/Linux-Systeme kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien desproftpd
auf dem beherbergenden Rechnersystem auszuführen. - [Generic/ProFTPd] Schwachstelle im ProFTP-Daemon (2003-09-24)
Eine Pufferüberlaufschwachstelle im auf UNIX/Linux-Systemen verbreiteten FTP-Serversystem ProFTP ermöglicht Angreifern über den Download einer speziell geformten Datei imASCII mode
die Kompromittierung des beherbergenden Rechnersystems.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1338