Linuxový portál

Chyba v populárním ProFTPD serveru potenciálně umožňuje útočníkům neověřeně vstoupit do systému. Problém je způsoben při přetečení bufferu v pr_netio_telnet_gets () funkci pro vyhodnocení TELNET IAC sekvencí. ProFTPD je schopen zpracovávat TELNET IAC sekvence na portu 21. Některé možnosti nejsou podporovány pro protokol Telnet nebo FTP. Přetečení vyrovnávací paměti umožňuje útočníkům napsat libovolný kód do zásobníku a poté ho spustit.

Aktualizace na verzi ProFTPD 1.3.3c daný problém řeší. Tato aktualizace také řeší problém v zabezpečení, při kterém lze procházet adresáře jen v případě, je-li načten mod_site_misc modul. Tato chyba by mohla útočníkovi umožnit s právy zápisu opustit své povolené adresáře a začít systematicky mazat adresáře nebo vytvářet symbolické odkazy apod. Modul není načten nebo zkompilován ve výchozím nastavení. Další informace týkající se této aktualizace naleznete v poznámkách k vydání na stránkách projektu. Všem uživatelům, kteří ještě neprovedli aktualizaci se doporučuje začít aktualizaci co nejdříve.