Risque
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- ftpd sur NetBSD.
- ftpd sur OpenBSD ;
Résumé
Une vulnérabilité dans ftpd permet à une personne malintentionnée d'effectuer une attaque de type cross-site request forgery.
Description
Une vulnérabilité dans la gestion de requêtes longues dans ftpd permet à une personne malintentionnée de réaliser des attaques de type cross-site request forgery. Cette vulnérabilité est la même que celle décrite dans l'avis CERTA-2008-AVI-471.
Solution
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité NetBSD 2008-014 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-014.txt.asc
- Avis CERTA-2008-AVI-471 du 23 septembre 2008 : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-471/CERTA-2008-AVI-471.html
- Correction dans le CVS de OpenBSD : http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c?rev=1.184
- Référence CVE CVE-2008-4247 https://www.cve.org/CVERecord?id=CVE-2008-4247
