-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2003-54 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2003/09/30 最終更新日 : 2003/09/30 パッケージ名 : proftpd タイトル : ASCII モード時における弱点 概要 : ProFTPD は安全で、自由度の高い設定ができる FTP サーバとして開発さた Linux 及び Unix 系 OS で動作する FTP デーモンです。 ASCII ファイルを転送する処理に脆弱性が存在します。 遠隔地の攻撃者が、この弱点を攻撃するにはファイルをアップロードし、 そのファイルをダウンロードする権限を持っていなければなりません。 影響 : この脆弱性を利用され、遠隔地の第三者に任意のコマンドを実行される可能性があります。 影響製品 : - Turbolinux 8 Server - Turbolinux 8 Workstation - Turbolinux 7 Server - Turbolinux 7 Workstation - Turbolinux Server 6.5 対策方法 : 下記パッケージにアップデートを行って下さい。 アップデートは turbopkg(zabom) コマンドを使用して行ってください。 ---------------------------------------- # turbopkg もしくは、 # zabom update proftpd ---------------------------------------- turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし 下記コマンドを実行して下さい。 ---------------------------------------- # rpm -Fvh proftpd-1.2.8-3.src.rpm ---------------------------------------- Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/proftpd-1.2.8-3.src.rpm 799310 0b085b2534d2ef187190e28c0d3c82b0 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/proftpd-1.2.8-3.i586.rpm 494255 41ef87d4add81c3e9b6b5798f0f5e53b Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/proftpd-1.2.8-3.src.rpm 799310 c7c4ba58a0f45c9aa9ec37e71415683d Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/proftpd-1.2.8-3.i586.rpm 494317 aff059772cb4e8a83626165af3c2c918 Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/proftpd-1.2.8-3.src.rpm 799310 725dc29f67cab5fa77a236154033b3c7 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/proftpd-1.2.8-3.i586.rpm 486609 fc1a2b813257322095e6303dc4c27799 Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/proftpd-1.2.8-3.src.rpm 799310 a3d08e2e400f57b66fd7c2022abd1d09 Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/proftpd-1.2.8-3.i586.rpm 486725 67f5f2f278a25548fd5424d5c481e151 Source Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/6.5/updates/SRPMS/proftpd-1.2.8-3.src.rpm 799310 28b82c94e03161660db0a061e272b3cd Binary Packages Size : MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/6.5/updates/RPMS/proftpd-1.2.8-3.i386.rpm 597007 830ce6d43eefabe6f52333fd34d52a98 注意事項 : proftpd を使用している場合はアップデート後、proftpd を再起動して下さい。 root で実行して下さい。 --------------------------------------------- # /etc/init.d/proftpd restart もしくは、 # /etc/rc.d/init.d/proftpd restart --------------------------------------------- 関連文章 : ProFTPD org [News Flashes] http://www.proftpd.org/index.html CVE [CAN-2003-0831] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0831 -------------------------------------------------------------------------- 更新履歴 初版 2003/09/30 -------------------------------------------------------------------------- Copyright(C) 2003 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/eSlVK0LzjOqIJMwRArW6AJ9w6zbSN5dZZWNIw/bcMCh4Xpbh3gCgiiH6 Ox0IisQtt/OSFePWxLnjvOU= =Efsh -----END PGP SIGNATURE-----