UPDATE: DFN-CERT-2020-0361 ProFTPD: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

UPDATE: DFN-CERT-2020-0361 ProFTPD: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (03.03.20):
Für Debian 8 Jessie (LTS) steht ein neues Sicherheitsupdate für ‘proftpd-
dfsg’ bereit, da es beim bisherigen Sicherheitsupdate zu einer Regression
gekommen ist.
Version 4 (02.03.20):
Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen
ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle in ‘proftpd-
dfsg’ zur Verfügung.
Version 3 (02.03.20):
Für openSUSE Leap 15.1 sowie openSUSE Backports SLE 15 und 15 SP1 stehen
Sicherheitsupdates für ‘proftpd’ auf Version 1.3.6c zur Behebung zweier
Schwachstellen bereit. Die Schwachstelle CVE-2020-9272 (Issue #902),
welche ebenfalls mit den Versionen 1.3.6c und 1.3.7rc3 behoben wurde
(hinzugefügt), ermöglicht einem entfernten Angreifer das Ausspähen von
Informationen.
Version 2 (24.02.20):
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für ‘proftpd-dfsg’
auf Version 1.3.5e+r1.3.5-2+deb8u6 bereit, um die Schwachstelle zu
beheben. Für Fedora EPEL 6 und EPEL 7 stehen ebenfalls Sicherheitsupdates
in Form der Pakete ‘proftpd-1.3.3g-14.el6’ und ‘proftpd-1.3.5e-9.el7’ im
Status ‘testing’ zur Verfügung.
Version 1 (20.02.20):
Neues Advisory

Ein entfernter Angreifer mit üblichen Benutzerrechten kann die Schwachstelle
CVE-2020-9273 (Issue #903) ausnutzen, um einen Denial-of-Service
(DoS)-Angriff durchzuführen. Zusätzlich besteht allerdings auch die
Möglichkeit, Schreibzugriffe über Puffergrenzen hinweg zu tätigen, wodurch
vermutlich beliebiger Programmcode zur Ausführung gebracht werden kann.

Der Hersteller veröffentlicht die ProFTPD Versionen 1.3.6c und 1.3.7rc3, um
die Schwachstelle zu beheben.

Für Fedora 30 und 31 sowie Fedora EPEL 8 stehen Sicherheitsupdates in Form
von ‘proftpd-1.3.6c-1’-Paketen im Status ‘testing’ zur Behebung der
Schwachstelle bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-0361]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben