{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<TT>lftp</TT> versions 2.3.0 \u00e0 2.6.9  incluse.","content":"## Description\n\nlftp est un client permettant le transfert de fichiers depuis des\nserveurs FTP ou HTTP.\n\n  \n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire est pr\u00e9sente dans le\ntraitement de la r\u00e9ponse \u00e0 une commande ls ou rels \u00e9mise lors d'une\nsession r\u00e9alis\u00e9e avec un serveur WEB au moyen des protocoles HTTP ou\nHTTPS.\n\nIl est ainsi possible, pour un administrateur mal intentionn\u00e9, de cr\u00e9er\nun site WEB avec des r\u00e9pertoires constitu\u00e9s de telle fa\u00e7on que, lors de\nl'analyse du r\u00e9sultat de la r\u00e9ponse \u00e0 la commande ls ou rels renvoy\u00e9 par\nle serveur WEB, du code arbitraire soit ex\u00e9cut\u00e9 sur la plate-forme\nclient vuln\u00e9rable.\n\n## Solution\n\nLa version 2.6.10 de lftp corrige cette vuln\u00e9rabilit\u00e9.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 RHSA-2003:404 de RedHat :","url":"http://rhn.redhat.com/errata/RHSA-2003-404.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RHSA-2003:403 de RedHat :","url":"http://rhn.redhat.com/errata/RHSA-2003-403.html"},{"title":"Bulletin de s\u00e9curit\u00e9 DSA-406 de Debian :","url":"http://www.debian.org/security/2004/dsa-406"},{"title":"Bulletin de s\u00e9curit\u00e9 SuSE-SA:2003:51 de SuSE :","url":"http://www.suse.com/de/security/2003_051_lftp.html"},{"title":"Site de lftp :","url":"http://lftp.yar.ru/news.html"},{"title":"Bulletin de s\u00e9curit\u00e9 200312-07 de Gentoo :","url":"http://www.securityfocus.com/advisories/6181"}],"reference":"CERTA-2003-AVI-210","revisions":[{"description":"version initiale.","revision_date":"2003-12-16T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 de RedHat.","revision_date":"2003-12-17T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Gentoo.","revision_date":"2003-12-19T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Debian.","revision_date":"2004-01-06T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans lftp permet \u00e0 un utilisateur mal\nintentionn\u00e9 d'ex\u00e9cuter du code arbitraire \u00e0 distance sur la plate-forme\nvuln\u00e9rable.\n","title":"Vuln\u00e9rabilit\u00e9 de lftp","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 SuSE-SA:2003:051 de SuSE","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 MDKSA-2003:116 de Mandrake","url":"http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:116"}]}