—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0762 – Schwachstelle in vsftpd

In der Funktion vsf_filename_passes_filter() in der Datei ls.c existiert
eine Schwachstelle beim Verarbeiten von Mustern bei Dateinamen. Ein
entfernter Angreifer, der Zugriff auf den FTP-Server hat, kann mittels
eines praeparierten STAT-Befehls grosse Mengen von CPU-Zeit konsumieren,
was zu einem Denial of Service auf den FTP-Dienst benutzt werden kann.
Hinweis: Ein Exploit fuer die Schwachstelle ist verfuegbar.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket vsftpd

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-2567
2011-03-04 09:39:25
– ——————————————————————————–

Name : vsftpd
Product : Fedora 15
Version : 2.3.4
Release : 1.fc15
URL : http://vsftpd.beasts.org/
Summary : Very Secure Ftp Daemon
Description :
vsftpd is a Very Secure FTP daemon. It was written completely from
scratch.

– ——————————————————————————–
References:

[ 1 ] Bug #681667 – CVE-2011-0762 vsftpd: remote DoS via crafted glob pattern
https://bugzilla.redhat.com/show_bug.cgi?id=681667
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update vsftpd’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNgIqmAAoJEJtyb8U7iGZBX2sIAKVLkf7U7I2ASOU2q5ywCDWt
J9TJFFLMZLd2gIbmeraB7fGT3+q3vQujJBxsPOuS79SRL/SoSBeuJINJgOJ1+fb7
TMYeyHvJVgj8fCjNgurswf+L9L07IUFSiIyGDVbsz4wGEa+FM9svhfsN6Pei3Nfa
sc8lKa63DnAUUtq1+8F1AI6zLblBoV3JgmWI5mVpT3JDfy9oL1tOBKPF33ehaMfk
xj94GrdRQsZo5LrCNSwio6LVBzbSydg5ZGSW4op2Yo9FPL2xUxAaXV+s3+KVsoHR
IlVq2cQtZhTJpE8SofU1Pi+hbdrML3Vr1qmvJbrEB1ItTFL9Uo1x5r7fR+26l3c=
=Vn4B
—–END PGP SIGNATURE—–