Proftpd を 1.3.3c にアップデート

ProFTPdに脆弱性があることをセキュリティホール memo経由で知ったので早速アップデート。
SecuniaのAdvisoryも「ProFTPD Directory Traversal and Buffer Overflow Vulnerabilities - Advisories - Community」という形で出ているようです。

セキュリティホール memo

　ProFTPD 1.3.3b 以前? に欠陥。 TELNET_IAC エスケープシーケンスの処理に欠陥があり、stack overflow が発生。remote から任意のコードを実行できる。
ProFTPD 1.3.3c で修正されている。

いつも手順を忘れるので、以下インストール手順メモ。

† インストール手順

ソースファイルをダウンロードし、パッチをあてる。

# cd /usr/src/redhat/SOURCES
# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.bz2

個人的にはFFFTPを捨てたので既に当てる必要性が薄れているかもしれませんが、念のためNLST対応パッチをあてておきます。

# mv proftpd-1.3.3c.tar.bz2 proftpd-1.3.3c.tar.bz2.org
# tar jxvf proftpd-1.3.3c.tar.bz2.org
# cd proftpd-1.3.3c
# wget http://cles.jp/software/patch/proftpd-1.2.10-nlst.patch
# patch -p1 < proftpd-1.2.10-nlst.patch
# tar jcvf proftpd-1.3.3c.tar.bz2 proftpd-1.3.3c

上記のソースを使ってrpmをビルドし、インストール。
オプションが一杯必要なのはMySQLで認証を行っているため。

# rpmbuild -ta proftpd-1.3.3c.tar.bz2 --target i686 --with mod_tls --with mod_sftp --with mod_sql --with mod_sql_mysql --with mod_rewrite --with mod_ifsession --with mod_facl --with mod_quotatab --with mod_quotatab_sql --with mod_ban --with mod_ctrls_admin --with ctrls --with dso --with lastlog
# cd /usr/src/redhat/RPMS/i686
# rpm -ivh proftpd-1.3.3c-1.i686.rpm proftpd-devel-1.3.3c-1.i686.rpm proftpd-mysql-1.3.3c-1.i686.rpm proftpd-wrap-1.3.3c-1.i686.rpm