Avis du CERT-FR

Objet: Vulnérabilité de ProFTPD

Gestion du document

Référence	CERTA-2008-AVI-471
Titre	Vulnérabilité de ProFTPD
Date de la première version	23 septembre 2008
Date de la dernière version	23 septembre 2008
Source(s)	Rapport d'erreur de ProFTPD n°3115 du 20 septembre 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

attaque de type Cross-site request forgery.

Systèmes affectés

ProFTPD versions 1.2.x ;
ProFTPD versions 1.3.x.

Résumé

Une vulnérabilité dans ProFTPD permet à un utilisateur distant de réaliser des attaques de type Cross-site request forgery sur le serveur vulnérable.

Description

Une vulnérabilité relative à la gestion des requêtes excessivement longues est présente dans ProFTPD. Celle-ci peut être exploitée pour exécuter des commandes FTP arbitraires dans le contexte d'un autre utilisateur.

Solution

La version CVS de ProFTPD corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif (cf. section Documentation).

Documentation

Site de ProFTPD :
```
http://www.proftpd.org
```
Rapport d'erreur de ProFTPD n°3115 du 20 septembre 2008 :
```
http://bugs.proftpd.org/show_bug.cgi?id=3115
```

Référence CVE CVE-2008-4242 :

https://www.cve.org/CVERecord?id=CVE-2008-4242

Gestion détaillée du document

le 23 septembre 2008: version initiale.