Bug 7477

Summary: 2 Format string vulnerabilities in ProFTPd
Product: ALT Linux 2.4 Reporter: Serg Rychka <rsv>
Component: proftpdAssignee: Kostya Timoshenko <kt>
Status: CLOSED WORKSFORME QA Contact: Andrey Cherepanov <cas>
Severity: major    
Priority: P2 CC: eostapets, icesik, ldv
Version: 2.4   
Hardware: all   
OS: Linux   
URL: http://www.securitylab.ru/56190.html
Attachments:
Description Flags
Patch for spec file
none
refactored patch # 7 for proftpd (correct build with postgresql) none

Description Serg Rychka 2005-07-28 11:38:24 MSD 
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в
обслуживании или выполнить произвольный код на целевой системе.

1. Уязвимость форматной строки обнаружена при отображении сообщения об
отключении, содержащее имя текущей директории. Злоумышленник может создать
специально сформированное имя каталога и вызвать отказ в обслуживании или
выполнить произвольный код на целевой системе. Для удачной эксплуатации имя
директории должно содержать переменные: "%C", "%R" или "%U".

2. Уязвимость форматной строки обнаружена в модуле mod_sql при получении
информации из базы данных. Злоумышленник может создать специально сформированные
insert запросы к БД и вызвать отказ в обслуживании или выполнить произвольный
код на целевой системе.
Comment 1 Michael Shigorin 2005-08-02 13:38:20 MSD 
Так... ничего не успеваю.  Можете собрать обновление?
Comment 2 Serg Rychka 2005-08-03 15:00:36 MSD 
Миша, это вы мне?
Comment 3 Michael Shigorin 2005-08-03 15:08:44 MSD 
Угу.

PS 2 icesik: вообще с радостью постараюсь помочь вам заработать участие в
security-team@.  Оно руки с адекватными головами лищними не бывают.
Comment 4 Igor Zubkov 2005-08-07 00:51:13 MSD 
(In reply to comment #3)
> Угу.
> 
> PS 2 icesik: вообще с радостью постараюсь помочь вам заработать участие в
> security-team@.  Оно руки с адекватными головами лищними не бывают.

Ок. Я попробую. Куда мне это залить?

Я так думаю к утру справлюсь...
Comment 5 Igor Zubkov 2005-08-07 03:48:50 MSD 
Итак. Я пересобрал rc2 в котором эти ошибки должны быть исправлены (если верить 
файлу NEWS). 
 
Маленький тест пересобранная версия прошла. Я поставил её на свою домашнюю 
машину и зашёл на ftp под локальным пользователем и он показал мне содержимое 
~/. 
 
Patch 7 пришлось немного переделать. Прилагается в аттаче. 
Patch 8 включён в upstream. 
 
Diff на спек прилагается. 
 
Теперь это надо пересобрать под Мастер 2.4. Его у меня под рукой нет. Так что 
ни чем здесь сейчас помочь не могу. Может быть завтра что-то изменится.
Comment 6 Igor Zubkov 2005-08-07 03:52:08 MSD 
Created attachment 1033 [details]
Patch for spec file
Comment 7 Igor Zubkov 2005-08-07 03:55:42 MSD 
Created attachment 1034 [details]
refactored patch # 7 for proftpd (correct build with postgresql)
Comment 8 Igor Zubkov 2006-01-27 15:13:35 MSK 
Давным давно fixed...
Comment 9 Igor Zubkov 2006-01-27 15:14:08 MSK 
и closed...
Comment 10 Serg Rychka 2006-01-30 10:11:39 MSK 
хотя в SA updates 2.4 так и не попало...
Comment 11 Igor Zubkov 2006-01-30 19:55:51 MSK 
Таки мяу. Переоткрываю. 
 
Кстати, обновление лежит в backports. Его надо только переложить 
в /updates/2.4/.
Comment 12 Michael Shigorin 2008-02-15 18:56:36 MSK 
backports/2.4 proftpd-1.3.0rc3-alt0.M24.1

2 ldv: 2 updates? :)