GLSA 200409-27: glFTPd: Local buffer overflow vulnerability
| Опасность: | средняя |
| Заголовок: | glFTPd: Local buffer overflow vulnerability |
| Дата: | 21.09.2004 |
| Ошибки: | |
| ID: | 200409-27 |
Сводка
glFTPd is vulnerable to a local buffer overflow which may allow arbitrary code execution.Назначение
glFTPd is a highly configurable FTP server with many features.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-ftp/glftpd | < 1.32-r1 | >= 1.32-r1 | All supported architectures |
Описание
The glFTPd server is vulnerable to a buffer overflow in the 'dupescan' program. This vulnerability is due to an unsafe strcpy() call which can cause the program to crash when a large argument is passed.
Воздействие
A local user with malicious intent can pass a parameter to the dupescan program that exceeds the size of the buffer, causing it to overflow. This can lead the program to crash, and potentially allow arbitrary code execution with the permissions of the user running glFTPd, which could be the root user.
Обход
There is no known workaround at this time.
Решение
All glFTPd users should upgrade to the latest version:
# emerge sync
# emerge -pv ">=net-ftp/glftpd-1.32-r1"
# emerge ">=net-ftp/glftpd-1.32-r1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.