-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 795-2 security@debian.org http://www.debian.org/security/ Michael Stone 2 de septiembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Vulnerabilidad : potencial ejecución de código Ámbito : error de cadena de formato Sólo en Debian : no Id. de CVE : CAN-2005-2390 infamous42md informó de que proftpd tenía dos vulnerabilidades de cadena de formato. En la primera, un usuario con capacidad para crear directorios podía producir un error en la cadena de formato si hubiera un mensaje de caída de proftpd configurado para que usase las variables «%C», «%R» o «%U». En el segundo, el error se producía si mod_sql se usaba para recuperar mensajes de una base de datos y si sus cadenas de formato las había insertado en la base de datos un usuario con permiso para ello. La distribución estable anterior (woody) no se ve afectada por estas vulnerabilidades. Para la distribución estable (sarge), este problema se ha corregido en la versión 1.2.10-15sarge1. Había un error en los paquetes que se habían preparado inicialmente para i386, por lo que se han corregido para esta arquitectura en 1.2.10-15sarge1.0.1. Para la distribución inestable (sid), este problema se ha corregido en la versión 1.2.10-20. Le recomendamos que actualice el paquete proftpd. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Arquitectura Intel IA-32: http://security.debian.org/pool/updates/main/p/proftpd/proftpd_1.2.10-15sarge1.0.1_i386.deb Tamaño y suma MD5: 371596 bd3d82221561e281e11d4583ce384b4f http://security.debian.org/pool/updates/main/p/proftpd/proftpd-common_1.2.10-15sarge1.0.1_i386.deb Tamaño y suma MD5: 189462 05f1c13c671f2576e119bfc316d01814 http://security.debian.org/pool/updates/main/p/proftpd/proftpd-ldap_1.2.10-15sarge1.0.1_i386.deb Tamaño y suma MD5: 381726 b2d469c77fed2de5d35c325226556b02 http://security.debian.org/pool/updates/main/p/proftpd/proftpd-mysql_1.2.10-15sarge1.0.1_i386.deb Tamaño y suma MD5: 397092 ef73f4b69701c8e88454f56887ed5b35 http://security.debian.org/pool/updates/main/p/proftpd/proftpd-pgsql_1.2.10-15sarge1.0.1_i386.deb Tamaño y suma MD5: 396948 42aaaeb976a9395550efc9667aa4ff31 Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpXmTTE8AcBo.pgp
Description: PGP signature