{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Les syst\u00e8mes affect\u00e9s par ces vuln\u00e9rabilit\u00e9s sont les serveurs  ftp <TT>wu-ftpd</TT> ou issus du code source de  <TT>wu-ftpd</TT>.</P>","closed_at":"2000-06-26","content":"## Description\n\nwu-ftpd est un logiciel qui met en \u0153uvre les services du protocole de\ntransfert de fichiers (File Transfer Protocol ou FTP).\n\nDepuis d\u00e9but 1999 un certain nombres de vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 publi\u00e9es\nsur ce logiciel ainsi que des programmes d'exploitation de ces\nvuln\u00e9rabilit\u00e9s.\n\nCertaines des compromissions d\u00e9crites ci-apr\u00e8s concernent non-seulement\nle logiciel wu-ftpd mais aussi les logiciels qui offrent le service ftp\net qui sont bas\u00e9s sur le code source de wu-ftpd.\n\nLes vuln\u00e9rabilit\u00e9s sont les suivantes :\n\n##   4.1 D\u00e9bordement de pile dans MAPPING_CHDIR\n\nDes utilisateurs distants et locaux peuvent exploiter cette\nvuln\u00e9rabilit\u00e9 pour ex\u00e9cuter n'importe quel code avec les privil\u00e8ges de\nl'utilisateur qui lance le serveur wu-ftpd (le plus souvent, le\nsuperutilisateur root).\n\nPour exploiter cette vuln\u00e9rabilit\u00e9, l'intrus doit \u00eatre capable de cr\u00e9er\ndes r\u00e9pertoires dans les syst\u00e8mes vuln\u00e9rables accessibles via FTP. Alors\nque les utilisateurs distants ne sont susceptibles d'avoir ce privil\u00e8ge\nqu'au travers d'un acc\u00e8s FTP anonyme, il se peut que les utilisateurs\nlocaux aient la possibilit\u00e9 de cr\u00e9er les r\u00e9pertoires n\u00e9cessaires dans\nleur r\u00e9pertoire personnel.\n\n##   4.2 D\u00e9bordement de pile dans le fichier message\n\nDes utilisateurs distants et locaux peuvent exploiter cette\nvuln\u00e9rabilit\u00e9 pour ex\u00e9cuter n'importe quel code avec les privili\u00e8ge de\nl'utilisateur qui lance le serveur wu-ftpd (le plus souvent, le\nsuperutilisateur root).\n\nSi les intrus sont capable de modifier le contenu d'un fichier .message,\nils peuvent alors exploiter avec succ\u00e8s cette vuln\u00e9rabilit\u00e9. Cet acc\u00e8s\nest fr\u00e9quemment accord\u00e9 aux utilisateurs locaux dans leur r\u00e9pertoire\npersonnel, mais il se peut que cette possibilit\u00e9 soit restreinte dans le\ncas de l'acc\u00e8s FTP anonyme, selon votre configuration.\n\nEn outre, dans certaines circonstances, il se peut que des utilisateurs\ndistants soient capables de profiter de fichier .message contenant des\nmacros fournis par l'administrateur du site en faisant en sorte que le\nclient FTP fournissent des valeurs convenablement choisies qui seront\nexploit\u00e9es par lesdites macros.\n\n##   4.3 Fuite de m\u00e9moire dans SITE NEWER\n\nDes intrus locaux ou distants qui peuvent se connecter au serveur FTP\npeuvent faire consommer une quantit\u00e9 de m\u00e9moire excessive, emp\u00eachant le\nfonctionnement normal du syst\u00e8me. Si les intrus peuvent cr\u00e9er des\nfichiers sur le syst\u00e8me, ils peuvent exploiter cette vuln\u00e9rabilit\u00e9 pour\nex\u00e9cuter n'importe quel code avec les privil\u00e8ge de l'utilisateur qui\nlance le serveur ftp, g\u00e9n\u00e9ralement le superutilisateur root.\n\n##   4.4 D\u00e9bordement de variable dans le programme ftpshut\n\nUn d\u00e9bordement de variable est exploitable dans le programme ftpshut si\ncelui est configur\u00e9 avec les privil\u00e8ge suid-root. Ce peut utilis\u00e9 par un\nutilisateur local pour obtenir un acc\u00e8s avec les privil\u00e8ge de root.\n\n## Solution\n\nDes mises \u00e0 jours de wu-ftpd sont fournies pour certaines distributions\nde syst\u00e8mes d'exploitation. Il est souvent plus ais\u00e9 pour la maintenance\nd'un site d'utiliser les mises \u00e0 jours fournies par le vendeur plut\u00f4t\nque d'installer soit m\u00eame \u00e0 partir des sources. Cependant, on trouvera\ndans la section\u00a0[5.1](#sec:manuelle) des avertissement sur certains\naspects de la configuration qu'on ne retrouve pas dans les autres\nsections.\n\nSi votre distribution n'est pas cit\u00e9e reportez vous \u00e0 la\nsection\u00a0[5.1](#sec:manuelle).\n\n##   5.1 Correction manuelle\n\nCharger la derni\u00e8re version des sources du logiciel wu-ftpd \u00e0 l'adresse\n\n    ftp://ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.0.tar.gz\n\n.\n\nAppliquez le correctif suivant aux sources :\n\n    ftp://ftp.wu-ftpd.org/pub/wu-ftpd/quickfixes/apply_to_2.6.0/lreply-buffer-overflow.patch\n\n.\n\nIl faut maintenant configurer le serveur avant de le compiler.\n\nAttention ! il se peut que la version 2.6.0 pose des probl\u00e8mes\nd'interop\u00e9rabilit\u00e9 avec certains clients FTP bogu\u00e9s. En effet, la\nversion 2.6.0 a \u00e9t\u00e9 corrig\u00e9e pour accro\u00eetre sa conformit\u00e9 \u00e0 la RFC\nsp\u00e9cifiant le protocole FTP. En cons\u00e9quence il se peut que certains\nclients qui ne respectent pas totalement la RFC cesse d'interop\u00e9rer avec\nle serveur. Nous vous encourageons \u00e0 bien lire la documentation de\nwu-ftp avant de faire la mise \u00e0 jour.\n\nSi la compatibilit\u00e9 de votre serveur avec des logiciels clients non\nconformes \u00e0 la RFC est un soucis pour le service FTP que vous rendez, il\ny a lieu de configurer avec les options suivantes :\n\n    ./configure --enable-badclients\n\nIl se peut que dans des versions futures de wu-ftpd cette option de\nconfiguration ne soit plus disponible.\n\nCompilez et installez.\n\nPar d\u00e9faut ftpshut n'est pas install\u00e9 avec les privil\u00e8ge suid-root.\n\nIl peut s'av\u00e9rer n\u00e9cessaire de prendre les mesures suivantes :\n\n-   d\u00e9sactiver ou limiter les zones du serveur o\u00f9 on l'on peut d\u00e9poser\n    des fichiers.\n\n    De nombreux sites offre le service FTP \u00e0 une communaut\u00e9. Par\n    exemple, une communaut\u00e9 de d\u00e9veloppeur de logiciels libres peut\n    mettre en place un serveur FTP ou chacun peut d\u00e9poser ses logiciels\n    dans un r\u00e9pertoire (g\u00e9n\u00e9ralement appel\u00e9 Incomming). Ce r\u00e9pertoire,\n    quoique peu s\u00fbr, permet une gestion souple du serveur qui se con\u00e7oit\n    dans une communaut\u00e9 informelle.\n\n    Une telle approche peut permettre \u00e0 des intrus d'abuser du service\n    offert en offrant des fichiers qui ne sont pas dans l'esprit que\n    vous souhaitez donner \u00e0 votre site. Par exemple, un intrus pourrait,\n    \u00e0 votre insu, cr\u00e9er chez vous un serveur de fichiers au caract\u00e8re\n    douteux qui :\n\n    1.  consomme \u00e0 vos frais des ressources.\n\n        Les intrus occupent en g\u00e9n\u00e9ral les serveurs FTP d'autrui pour y\n        placer des fichiers que l'on trouve difficilement mais qui pour\n        autant peuvent \u00eatre tr\u00e8s demand\u00e9s. Un fort volume de fichiers\n        d\u00e9pos\u00e9s dans votre serveur se fera au d\u00e9triment de la place que\n        vous pourrez accorder aux fichiers pour lesquels vous avez mont\u00e9\n        votre service FTP. Par ailleurs, une forte demande peut\n        engendrer une forte charge sur vos serveurs au point qu'ils ne\n        rendent pas le service pour lequel ils ont \u00e9t\u00e9 cr\u00e9\u00e9s avec la\n        diligence n\u00e9cessaire.\n\n    2.  pose un probl\u00e8me d'image.\n\n        Votre organisme n'aurait peut-\u00eatre pas publi\u00e9 ou tol\u00e9r\u00e9 la\n        publication de fichiers tels que ceux qu'a d\u00e9pos\u00e9 l'intrus. Par\n        exemple, il est peu probable qu'une administration publie des\n        documents qui incitent \u00e0 la haine, ou qu'un site pr\u00f4nant la\n        francophonie soit inond\u00e9s de textes dans une langue \u00e9trang\u00e8re.\n\n    3.  engage votre responsabilit\u00e9.\n\n        On constate de plus en plus la r\u00e9action violente des \u00e9diteurs de\n        logiciel, de musique voire d'\u0153uvres litt\u00e9raires face \u00e0 ce qu'ils\n        consid\u00e8rent comme du pillage. Il arrive moins souvent que des\n        artistes ou des particuliers r\u00e9agisse ainsi lorsqu'ils estiment\n        bafou\u00e9s leur droit (relatif \u00e0 leur image par exemple).\n        Ind\u00e9pendemment du bien fond\u00e9 de leur d\u00e9marche dans le cas pr\u00e9cis\n        des fichiers qui pourraient \u00eatre plac\u00e9s \u00e0 votre insu sur vos\n        serveurs de fichiers, il se peut que vous fassiez l'objet d'une\n        plainte.\n\nConfigurez par cons\u00e9quent votre serveur FTP pour limiter la possibilit\u00e9\nde d\u00e9poser des fichiers au minimum n\u00e9cessaire pour rendre le service que\nvous souhaitez. Une documentation en anglais est disponible sur \u00e0\nl'adresse :\n\n    ftp://ftp.wu-ftpd.org/pub/wu-ftpd/upload.configuration.HOWTO\n\n##   5.2 Debian\n\n### 5.2.1 Debian 2.1 (slink)\n\n**Source**\n:   \u00a0  \n    -   http://security.debian.org/dists/slink/updates/source/wu-ftpd-academ_2.4.2.16-13.1.diff.gz\n\n    -   http://security.debian.org/dists/slink/updates/source/wu-ftpd-academ_2.4.2.16-13.1.dsc\n\n    -   http://security.debian.org/dists/slink/updates/source/wu-ftpd-academ_2.4.2.16.orig.tar.gz\n\n**alpha**\n\n:   http://security.debian.org/dists/slink/updates/binary-alpha/wu-ftpd-academ_2.4.2.16-13.1_alpha.deb\n\n**i386**\n\n:   http://security.debian.org/dists/slink/updates/binary-i386/wu-ftpd-academ_2.4.2.16-13.1_i386.deb\n\n**m68k**\n\n:   http://security.debian.org/dists/slink/updates/binary-m68k/wu-ftpd-academ_2.4.2.16-13.1_m68k.deb\n\n**sparc**\n\n:   http://security.debian.org/dists/slink/updates/binary-sparc/wu-ftpd-academ_2.4.2.16-13.1_sparc.deb\n\n### 5.2.2 Debian 2.2 (potato)\n\n**Source**\n:   \u00a0  \n    -   http://security.debian.org/dists/potato/updates/main/source/wu-ftpd_2.6.0-5.1.diff.gz\n\n    -   http://security.debian.org/dists/potato/updates/main/source/wu-ftpd_2.6.0-5.1.dsc\n\n    -   http://security.debian.org/dists/slink/updates/source/wu-ftpd-academ_2.4.2.16.orig.tar.gz\n\n**alpha**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-alpha/wu-ftpd_2.6.0-5.1_alpha.deb\n\n**arm**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-arm/wu-ftpd_2.6.0-5.1_arm.deb\n\n**i386**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-i386/wu-ftpd_2.6.0-5.1_i386.deb\n\n**m68k**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-m68k/wu-ftpd_2.6.0-5.1_m68k.deb\n\n**powerpc**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-powerpc/wu-ftpd_2.6.0-5.1_powerpc.deb\n\n**sparc**\n\n:   http://security.debian.org/dists/potato/updates/main/binary-sparc/wu-ftpd_2.6.0-5.1_sparc.deb\n\n##   5.3 Redhat linux\n\nInstallez les extensions au travers des fichiers rpm suivants (pour\nchaque fichier rpm correspondant \u00e0 votre architecture mat\u00e9rielle, lancez\n: rpm -Fvh \\[fichier\\] o\u00f9 fichier est le nom du fichier rpm) :\n\n### 5.3.1 Red Hat Linux 5.2\n\n**i386**\n\n:   ftp://updates.redhat.com/5.2/i386/wu-ftpd-2.6.0-2.5.x.i386.rpm\n\n**alpha**\n\n:   ftp://updates.redhat.com/5.2/alpha/wu-ftpd-2.6.0-2.5.x.alpha.rpm\n\n**sparc**\n\n:   ftp://updates.redhat.com/5.2/sparc/wu-ftpd-2.6.0-2.5.x.sparc.rpm\n\n**sources**\n\n:   ftp://updates.redhat.com/5.2/SRPMS/wu-ftpd-2.6.0-2.5.x.src.rpm\n\n### 5.3.2 Red Hat Linux 6.2\n\n**i386**\n\n:   ftp://updates.redhat.com/6.2/i386/wu-ftpd-2.6.0-14.6x.i386.rpm\n\n**alpha**\n\n:   ftp://updates.redhat.com/6.2/alpha/wu-ftpd-2.6.0-14.6x.alpha.rpm\n\n**sparc**\n\n:   ftp://updates.redhat.com/6.2/sparc/wu-ftpd-2.6.0-14.6x.sparc.rpm\n\n**sources**\n\n:   ftp://updates.redhat.com/6.2/SRPMS/wu-ftpd-2.6.0-14.6x.src.rpm\n","cves":[],"links":[{"title":"De plus amples informations sur les sites :","url":"http://www.debian.security/2000/20000623"}],"reference":"CERTA-2000-ALE-010","revisions":[{"description":"version initiale.","revision_date":"2000-06-26T00:00:00.000000"}],"risks":[{"description":"Des utilisateurs locaux, distants ou anonymes peuvent engendrer une charge de travail important sur le serveur, le rendant ainsi inapte \u00e0 r\u00e9aliser le service que l'on en attend"},{"description":"Des utilisateurs locaux, distants ou anonymes peuvent usurper les privil\u00e8ges du superutilisateur root sur la machine accueillant les serveurs"},{"description":"Des utilisateurs locaux, distants ou anonymes peuvent cr\u00e9er des r\u00e9pertoires et des fichiers dans le serveur ftp, permettant par exemple d'accueillir dans votre serveur ftp des sites au contenu au mieux ill\u00e9gitime au pire ill\u00e9gal"}],"summary":"Certaines versions de wu-ftp sont vuln\u00e9rables \u00e0 une compromission \u00e0\ndistance du compte root voire \u00e0 une exploitation locale.\n","title":"Vuln\u00e9rabilit\u00e9s dans le serveur de fichier wu-ftpd","vendor_advisories":[{"published_at":null,"title":"Avis Debian du 22 juin 2000","url":null},{"published_at":null,"title":"Serveur WEB du projet WU-FTP","url":null}]}