S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 septembre 2008
N° CERTA-2008-AVI-471
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de ProFTPD

Gestion du document

Référence CERTA-2008-AVI-471
Titre Vulnérabilité de ProFTPD
Date de la première version23 septembre 2008
Date de la dernière version23 septembre 2008
Source(s) Rapport d'erreur de ProFTPD n°3115 du 20 septembre 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • ProFTPD versions 1.2.x ;
  • ProFTPD versions 1.3.x.

Résumé

Une vulnérabilité dans ProFTPD permet à un utilisateur distant de réaliser des attaques de type Cross-site request forgery sur le serveur vulnérable.

Description

Une vulnérabilité relative à la gestion des requêtes excessivement longues est présente dans ProFTPD. Celle-ci peut être exploitée pour exécuter des commandes FTP arbitraires dans le contexte d'un autre utilisateur.

Solution

La version CVS de ProFTPD corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 septembre 2008
    version initiale.