S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 mars 2003
N° CERTA-2003-AVI-058
Affaire suivie par: CERT-FR
le 25 mars 2003

Avis du CERT-FR

Objet: Multiples vulnérabilités dans le serveur FTPD sous IRIX

Gestion du document

Référence CERTA-2003-AVI-058
Titre Multiples vulnérabilités dans le serveur FTPD sous IRIX
Date de la première version 25 mars 2003
Date de la dernière version 25 mars 2003
Source(s) Avis de sécurité SGI
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Vol de session FTP ;
  • contournement de la politique de sécurité.

Systèmes affectés

SGI IRIX 6.5.x.

Description

Le démon ftpd (File Transfert Protocol) est installé par défaut sur le serveur IRIX.

SGI met à disposition plusieurs correctifs permettant de corriger des vulnérabilités présentes dans le service ftpd :

  • une vulnérabilité permet à un utilisateur mal intentionné de voler une session FTP lorsqu'un client effectue une connexion en mode passif (PASV) ;
  • une vulnérabilité permet d'effectuer une connexion entre le serveur FTP et un port arbitraire d'une autre machine. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin de contourner des régles de filtrage.

Solution

Mettre à jour la version d'IRIX ou appliquer les correctifs fournis par SGI.

Documentation

Avis de sécurité SGI :

ftp://patches.sgi.com/support/free/security/advisories/20030304-01-P

Support SGI :

http://support.sgi.com

Avis du CERT/CC :

http://www.kb.cert.org/vuls/id/2558

http://www.cert.org/advisories/CA-1997-27.html

Gestion détaillée du document

    le 25 mars 2003
    version initiale.