Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions de gFTP utilisant la bibliothèque fpslib antérieure à la version 0.9.
Résumé
gFTP est un client FTP utilisant une bibliothèque contenant deux vulnérabilités.
Description
Le logiciel gFTP est un client graphique ftp pour l'interface GNOME. Pour offrir la compatibilité avec le protocole FPS (File service Protocol), il utilise la bibliothèque fpslib qui contient deux vulnérabilités concernant le traitement des noms longs de répertoire. Une personne malveillante peut exécuter du code arbitraire sur la machine d'un utilisateur, lorsque ce dernier accède à un serveur contenant des noms de répertoire spécifiquement formés, à l'aide du client gFTP.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Alerte de Secunia numéro 26378 du 09 août 2007 : http://secunia.com/advisories/26378/
- Alerte de Secunia numéro 27501 du 02 novembre 2007 : http://secunia.com/advisories/27501/
- Bulletin de sécurité Gentoo GLSA-200711-01 du 01 novembre 2007 : http://www.gentoo.org/security/en/glsa/glsa-200711-01.xml
- Référence CVE CVE-2007-3961 https://www.cve.org/CVERecord?id=CVE-2007-3961
- Référence CVE CVE-2007-3962 https://www.cve.org/CVERecord?id=CVE-2007-3962
