Moin
Laut: https://security-tracker.debian.org/tracker/source-package/proftpd-dfsg
sind beide Versionen Anfällig (Stand 18.05.2015 - 22:25 Uhr).
Für Jessie kann man den Patch von stretch verwenden.
GitHub Source Changes: https://github.com/proftpd/proftpd/commit/35b65aaf7219be474f621a874ec77c85d9ec794d
gehen auch beim Wheezy Release
Patch für 1.3.5 (jessie):
https://sources.debian.net/src/proftpd-dfsg/1.3.5-2/debian/patches/CVE-2015-3306/
geht auch für Jessie
mich wundert hier, dass es bei Debian schon am "2015-04-23" eingegangen ist als Patch im Testing ( https://packages.qa.debian.org/p/proftpd-dfsg.html )
So habe ich im Internen Repo bei uns für die Server den Patch verteilen können.