S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 septembre 2003
N° CERTA-2003-AVI-155-002
Affaire suivie par: CERT-FR
le 26 septembre 2003

Avis du CERT-FR

Objet: Vulnérabilité de ProFTPD

Gestion du document

Référence CERTA-2003-AVI-155-002
Titre Vulnérabilité de ProFTPD
Date de la première version 26 septembre 2003
Date de la dernière version 12 mai 2004
Source(s) Avis de sécurité ISS X-Force du 23/09/2003
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • ProFTPD versions 1.2.7 et antérieures ;
  • ProFTPD 1.2.8 ;
  • ProFTPD 1.2.8rc1 ;
  • ProFTPD 1.2.8rc2 ;
  • ProFTPD 1.2.9rc1 ;
  • ProFTPD 1.2.9rc2.

Résumé

Une vulnérabilité dans ProFTPD permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

ProFTPD est un serveur FTP (File Transfer Protocol). Un débordement de mémoire est déclenché lors du téléchargement en mode ASCII d'un fichier habilement constitué et préalablement déposé sur le serveur ProFTPD. Il est alors possible pour un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Contournement provisoire

Interdire le dépôt de fichiers sur le serveur ProFTPD. Editer le fichier de configuration de ProFTPD comme suit : 

                <Limit WRITE>
                      DenyAll
                </Limit>

Solution

Les versions disponibles sur le site de ProFTPD corrigent cette vulnérabilité : 

ftp://ftp.proftpd.org

Documentation

Gestion détaillée du document

    le 26 septembre 2003
    version initiale.
    le 30 septembre 2003
    ajout de la référence CVE et du bulletin de sécurité Mandrake.
    le 12 mai 2004
    ajout des références aux bulletins de sécurité FreeBSD et NetBSD.