Risque

  • Déni de service

Systèmes affectés

Les versions 2.6.1 et 2.6.2 du logiciel WU-FTPD.

Des versions antérieures peuvent être affectées.

Description

WU-FTPD est le serveur FTP de l'université de Washington.

Lorsqu'un utilisateur malicieux distant se connecte à un serveur FTP mis en œuvre par une version non corrigée de WU-FTPD, il peut lancer la commande ls avec des paramètres astucieusement construits. Ceci aura pour effet de consommer toute la puissance de calcul du serveur, le rendant ainsi inaccessible aux requêtes légitimes.

Contournement provisoire

Ne pas laisser les utilisateurs qui ne sont pas dignes de confiance accéder au site WEB.

Solution

Certaines distributions ont fourni un correctif qu'il convient d'appliquer.

Documentation