Avis du CERT-FR

Objet: Vulnérabilité dans le service FTP sous HP-UX

Gestion du document

Référence	CERTA-2004-AVI-412
Titre	Vulnérabilité dans le service FTP sous HP-UX
Date de la première version	22 décembre 2004
Date de la dernière version	03 janvier 2005
Source(s)	Bulletin de sécurité iDefense du 21 décembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Exécution de code arbitraire
Élevation de privilèges

Systèmes affectés

HP-UX version 11.11i.

Description

Une vulnérabilité présente dans le service de transfert de fichier FTP sous HP-UX permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du service FTP lorsque celui-ci a été démarré avec l'option -v (debug) à partir du service inetd.

Solution

Appliquer les correctifs fournis par l'éditeur suivant la version impactée.

Documentation

Bulletin de sécurité HP HPSBUX0107-162 "ftp and ftpd remote unauthorized access" du 22 décembre 2004 :

http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0107-162

Bulletin de sécurité iDefense "Hewlett Packard HP-UX ftpd Remote Buffer overflow vulnerability" du 21 décembre 2004 :

http://www.idefense.com/application/poi/display?id=175&type=vulnerabilities

Gestion détaillée du document

le 22 décembre 2004: version initiale.
le 03 janvier 2005: ajout référence au bulletin de sécurité de HP.