Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
gFTP version 2.0.18 et versions antérieures.
Description
gFTP est un client pour les plate-formes UNIX permettant le transfert de
fichiers.
gFTP prend en charge les protocoles FTP, FTPS, HTTP, HTTPS, SSH et
FSP.
Une vulnérabilité de type traversée de répertoire dans gFTP permet à un
utilisateur mal intentionné, via un serveur contenant un fichier
malicieux, de porter atteinte à l'intégrité des données de la machine
vulnérable (création ou écrasement de fichiers arbitraires).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-686 du 17 février 2005 http://www.debian.org/security/2005/dsa-686
- Bulletin de sécurité FreeBSD pour gftp du 18 février 2005 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200502-27 du 19 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-27.xml
- Bulletin de sécurité Mandrake MDKSA-2005:050 du 04 mars 2005 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:050
- Bulletin de sécurité RedHat RHSA-2005:410 du 13 juin 2005 : http://rhn.redhat.com/errata/RHSA-2005-410.html
- Mise à jour de sécurité des paquetages NetBSD gftp et gftp-gtk1 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/net/gftp/README.html
- Mise à jour de sécurité des paquetages NetBSD gftp et gftp-gtk1 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/net/gftp-gtk1/README.html
- Mise à jour de sécurité pour Fedora Core 2 pour gftp du 08 avril 2005 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
- Mise à jour de sécurité pour Fedora Core 3 pour gftp du 08 avril 2005 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
- Site Internet de gFTP : http://gftp.seul.org
