[SuSE] Schwachstelle in PureFTPd – SUSE-SU-2011:1028-1

[SuSE] Schwachstelle in PureFTPd - SUSE-SU-2011:1028-1

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes SuSE Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-3171 – Schwachstelle in OES Netware Addons fuer PureFTPd

Wenn das Feature remote_server in OES aktiviert ist, kann unter
Umstaenden eine Directory Traversal Schwachstelle auftreten. Einem
lokalen Angreifer ermoeglicht dies, Inhalte von Ordnern einzusehen und
Dateien zu ueberschreiben, obwohl dieser keine Rechte dazu hat.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket pure-ftpd, pure-ftpd-debuginfo

SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Desktop 10 SP4

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

SUSE Security Update: Security update for pure-ftpd, pure-ftpd-debuginfo
______________________________________________________________________________

Announcement ID: SUSE-SU-2011:1028-1
Rating: important
References: #685447 #699300 #700335 #703035
Cross-References: CVE-2011-3171
Affected Products:
SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Desktop 10 SP4
______________________________________________________________________________

An update that solves one vulnerability and has three fixes
is now available.

Description:

The OES Netware add-ons in pure-ftpd had a security problem
and some bugs, which are fixed by this update.

A local attacker could overwrite local files when the OES
remote server feature of pure-ftpd is enabled due to a
directory traversal. (CVE-2011-3171)

Additionally the following bugs have been fixed:

* bnc#699300 – FTP remote server navigation does not
always succeed
* bnc#685447 – pure-ftpd does not throw an error when
the name resolution fails during remote server navigation
* bnc#700335 – put files into NCP volumes fails
* bnc#703035 – remote_server feature opens a
vulnerability with directory traversal & file overwriting

Security Issue reference:

* CVE-2011-3171
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3171

Indications:

Please install this update.

Package List:

– SUSE Linux Enterprise Server 10 SP4 (i586 ia64 ppc s390x x86_64):

pure-ftpd-1.0.22-0.26.1

– SUSE Linux Enterprise Desktop 10 SP4 (i586 x86_64):

pure-ftpd-1.0.22-0.26.1

References:

http://support.novell.com/security/cve/CVE-2011-3171.html
https://bugzilla.novell.com/685447
https://bugzilla.novell.com/699300
https://bugzilla.novell.com/700335
https://bugzilla.novell.com/703035
http://download.novell.com/patch/finder/?keywords=9a99a741b9d38804b2622f8b9adfa22a

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOagaIAAoJEJtyb8U7iGZB5esH/jin+nVlKQ/QpKaRbkV2sVIA
joudNVwGrFiXk1mDnh8keyrttbrbQ73BPTln6seIUhBS8EG+M8twx31C08g5l/bT
vKESH0piY/5OrgLF1QEvR9BASNkLkcAY0RJhBoMR3E6dxydxIW6h9FMWSpKU55nt
98G9IdCGdUFZ87SHIGBFXweY0PTCdzwxFHddAtlDnTpiR5ySlHwizEMj2RDKTPLB
2QPlC59wLApg2gP455Zz+61WTPSIDkHBuVp1xFuw7ucU8rorfLuF1QJWpvVPCzbz
C3E0E6tpCsS/+dOdmNvN9eGMWoDdWRsX/UDrk3VqObfjgyRTQU9qABTZppyutWc=
=Mhte
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben