Vulnérabilité dans ftpd

Gestion du document

Référence	CERTA-2008-AVI-531
Titre	Vulnérabilité dans ftpd
Date de la première version	30 octobre 2008
Date de la dernière version	30 octobre 2008
Source(s)	Bulletin de sécurité NetBSD 2008-014
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Cross-site request forgery.

Systèmes affectés

ftpd sur OpenBSD ;
ftpd sur NetBSD.

Résumé

Une vulnérabilité dans ftpd permet à une personne malintentionnée d'effectuer une attaque de type cross-site request forgery.

Description

Une vulnérabilité dans la gestion de requêtes longues dans ftpd permet à une personne malintentionnée de réaliser des attaques de type cross-site request forgery. Cette vulnérabilité est la même que celle décrite dans l'avis CERTA-2008-AVI-471.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Correction dans le CVS de OpenBSD :

http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c?rev=1.184

Bulletin de sécurité NetBSD 2008-014 du 28 octobre 2008 :

ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-014.txt.asc

Avis CERTA-2008-AVI-471 du 23 septembre 2008 :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-471/CERTA-2008-AVI-471.html

Référence CVE CVE-2008-4247 :

https://www.cve.org/CVERecord?id=CVE-2008-4247

Avis du CERT-FR

Objet: Vulnérabilité dans ftpd