Vulnérabilités du serveur ProFTPD

Gestion du document

Référence	CERTA-2002-AVI-022
Titre	Vulnérabilités du serveur ProFTPD
Date de la première version	04 février 2002
Date de la dernière version	04 février 2002
Source(s)	Avis de securité Linux Mandrake MDKSA-2002-005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement des règles de sécurité ;
Déni de service.

Systèmes affectés

Serveur FTP ProFTPD.

Résumé

Deux vulnérabilités présentes dans le serveur ProFTPD permettent à un utilisateur mal intentionné soit de contourner les Listes de Contrôle d'Accès (ACL), soit de provoquer un déni de service sur le serveur.

Description

Première vulnérabilité :
Une erreur dans la vérification de la concordance entre l'adresse IP et le nom de la machine du serveur ProFTPD au niveau DNS permet à un utilisateur distant mal intentionné de contourner la liste de contrôle d'accès.
Seconde vulnérabilité :
Un utilisteur distant, par le biais de certaines commandes envoyées au serveur ProFTPD, peut augmenter la consommation des ressources CPU et mémoire entraînant ainsi l'arrêt du serveur.

Contournement provisoire

Première vulnérabilité :
Désactiver l'option UserReverseDNS du serveur.
Seconde vulnérabilité :
Utiliser l'option DenyFilter _*.*/ du serveur.

Solution

Mettre à jour ProFTPD avec la version 1.2.2rc1 :
```
ftp://ftp.proftpd.org/distrib.source
```

Correctif pour Linux Mandrake :

http://www.linux-mandrake.com/en/security

Documentation

Avis de securité Mandrake :

http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-005.ph

Avis du CERT-FR

Objet: Vulnérabilités du serveur ProFTPD