Risque
- Déni de service
Systèmes affectés
Les versions 2.6.1 et 2.6.2 du logiciel WU-FTPD.
Des versions antérieures peuvent être affectées.
Description
WU-FTPD est le serveur FTP de l'université de Washington.
Lorsqu'un utilisateur malicieux distant se connecte à un serveur FTP mis en œuvre par une version non corrigée de WU-FTPD, il peut lancer la commande ls avec des paramètres astucieusement construits. Ceci aura pour effet de consommer toute la puissance de calcul du serveur, le rendant ainsi inaccessible aux requêtes légitimes.
Contournement provisoire
Ne pas laisser les utilisateurs qui ne sont pas dignes de confiance accéder au site WEB.
Solution
Certaines distributions ont fourni un correctif qu'il convient d'appliquer.
Documentation
- Avis de sécurité Debian DSA-705 : http://www.debian.org/security/2005/dsa-705
- Avis de sécurité FreeBSD : http://www.vuxml.org/freebsd/pkg-wu-ftp.html
- Avis de sécurité Sun #101699 du 25 mai 2005 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-101699-1
- Bulletin de sécurité Avaya ASA-2005-126 du 06 juin 2005 : http://support.avaya.com/elmodocs2/security/ASA-2005-126_SUN-5-20-2005.pdf
- Le site WEB du projet WU-FTPD : http://www.wu-ftpd.org
