2020-0361: ProFTPD: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-02-20 18:06)

Neues Advisory

Version 2 (2020-02-24 10:01)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'proftpd-dfsg' auf Version 1.3.5e+r1.3.5-2+deb8u6 bereit, um die Schwachstelle zu beheben. Für Fedora EPEL 6 und EPEL 7 stehen ebenfalls Sicherheitsupdates in Form der Pakete 'proftpd-1.3.3g-14.el6' und 'proftpd-1.3.5e-9.el7' im Status 'testing' zur Verfügung.

Version 3 (2020-03-02 15:40)

Für openSUSE Leap 15.1 sowie openSUSE Backports SLE 15 und 15 SP1 stehen Sicherheitsupdates für 'proftpd' auf Version 1.3.6c zur Behebung zweier Schwachstellen bereit. Die Schwachstelle CVE-2020-9272 (Issue #902), welche ebenfalls mit den Versionen 1.3.6c und 1.3.7rc3 behoben wurde (hinzugefügt), ermöglicht einem entfernten Angreifer das Ausspähen von Informationen.

Version 4 (2020-03-02 15:45)

Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle in 'proftpd-dfsg' zur Verfügung.

Version 5 (2020-03-03 10:32)

Für Debian 8 Jessie (LTS) steht ein neues Sicherheitsupdate für 'proftpd-dfsg' bereit, da es beim bisherigen Sicherheitsupdate zu einer Regression gekommen ist.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer mit üblichen Benutzerrechten kann die Schwachstelle CVE-2020-9273 (Issue #903) ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zusätzlich besteht allerdings auch die Möglichkeit, Schreibzugriffe über Puffergrenzen hinweg zu tätigen, wodurch vermutlich beliebiger Programmcode zur Ausführung gebracht werden kann.

Der Hersteller veröffentlicht die ProFTPD Versionen 1.3.6c und 1.3.7rc3, um die Schwachstelle zu beheben.

Für Fedora 30 und 31 sowie Fedora EPEL 8 stehen Sicherheitsupdates in Form von 'proftpd-1.3.6c-1'-Paketen im Status 'testing' zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2020-9272

Schwachstelle in ProFTPD ermöglicht Ausspähen von Informationen

CVE-2020-9273

Schwachstelle in ProFTPD ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.