S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 mars 2003
N° CERTA-2003-AVI-058
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans le serveur FTPD sous IRIX

Gestion du document

Référence CERTA-2003-AVI-058
Titre Multiples vulnérabilités dans le serveur FTPD sous IRIX
Date de la première version25 mars 2003
Date de la dernière version25 mars 2003
Source(s) Avis de sécurité SGI

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Vol de session ftp

Systèmes affectés

SGI IRIX 6.5.x.

Description

Le démon ftpd (File Transfert Protocol) est installé par défaut sur le serveur IRIX.

SGI met à disposition plusieurs correctifs permettant de corriger des vulnérabilités présentes dans le service ftpd :

  • une vulnérabilité permet à un utilisateur mal intentionné de voler une session FTP lorsqu'un client effectue une connexion en mode passif (PASV) ;
  • une vulnérabilité permet d'effectuer une connexion entre le serveur FTP et un port arbitraire d'une autre machine. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin de contourner des régles de filtrage.

Solution

Mettre à jour la version d'IRIX ou appliquer les correctifs fournis par SGI.

Documentation

Gestion détaillée du document

    le 25 mars 2003
    version initiale.