Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости
Вышел релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g, в котором исправлено 219 ошибок и устранена уязвимость, которая может привести к выполнению стороннего кода на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как «ошибка, приводящая к повреждению памяти».
В настоящее время опубликована инструкция с изложением принципа эксплуатации уязвимости. Уже подготовлен рабочий эксплоит, который не опубликован публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian.