2011年11月16日

[debian-users:55767] Re: [Translate] [SECURITY] [DSA 2346-1] proftpd-dfsgsecurity update

かねこです。

あー、やっぱりまちがっているな。

CVE-2011-3389 で正しいです。内容は、
「STARTTLS により暗号化が開始された後に暗号化前の入力バッファのデータを使用
する欠陥があり、BEAST 攻撃が可能です。これはCVE-2011-0411 類似の問題です。」

です。

(11/11/16 20:05), Seiji Kaneko -san wrote:
> かねこです。
> URL 等は Debian-security-announce メーリングリストの元記事を確認
> ください。
>
> #内容変なので proftpd のリリースノートを見ました。間違っている可能性アリ。
> ------>8------------>8------------>8------------>8------------>8-
> - -------------------------------------------------------------------------
> Debian Security Advisory DSA-2346-1 security@xxxxx
> http://www.debian.org/security/ Florian Weimer
> November 15, 2011 http://www.debian.org/security/faq
> - -------------------------------------------------------------------------
>
> Package : proftpd-dfsg
> Vulnerability : 複数
> Problem type : リモート
> Debian-specific: いいえ
> CVE ID : CVE-2011-4130
> Debian Bug : 648373
>
> 複数の欠陥が、FTP サーバ ProFTPD に発見されました。
>
> CVE-2011-3389
> STARTTLS により暗号化が開始された後に暗号化前の入力バッファの
> データを使用する欠陥に対する BEAST 攻撃の OpenSSL の防御機能を、
> mod_tls で有効化できるよう変更を行っています。これは
> CVE-2011-0411 類似の問題です。
>
> CVE-2011-4130
> ProFTPD は例外的な条件下で応答メモリプールを開放後に使用する
> ため、リモートからのコード実行に繋がる可能性があります (lenny
> 収録の版にはこの問題はありません)。
>
> 旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
> バージョン 1.3.1-17lenny8 で修正されています。
>
> 安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
> ジョン 1.3.3a-6squeeze4 で修正されています。
>
> テスト版 (wheezy) および不安定版 (unstable) ディストリビューション
> では、この問題はバージョン 1.3.4~rc3-2 で修正されています。
>
> 直ぐに proftpd-dfsg パッケージをアップグレードすることを勧めます。
>
> Debian Security Advisories に関する説明、これらの更新をシステムに適用
> する方法、FAQ などは http://www.debian.org/security/ を参照ください。
>
> Mailing list: debian-security-announce@xxxxx
> ------>8------------>8------------>8------------>8------------>8-


--
Seiji Kaneko


投稿者 xml-rpc : 2011年11月16日 21:35
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/107383
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。