Mar 16, 2001
461 Vues
0 0

Nouveau bug dans les serveurs FTP

Ecrit par

Ce bug est du à une mauvaise implémentation du listage des fichiers présents dans les répertoires. Il concerne tous les types de connexions, anonymes ou authentifiées.
Le principe en est très simple : après une connexion traditionnelle, il suffit de taper la commande suivante :

ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*

Plus le motif ‘*/../’ est répété, plus fort en sera l’impact.
Cette commande effectue une recherche récursive, qui conduit à une consommation de toutes les ressources disponibles. La charge de la machine monte à 100%, la mémoire se remplit, puis les zones d’échanges, et le système devient inutilisable.
Toutes les versions de ProFTPd sont concernées et aucun correctif n’est disponible à l’heure actuelle. Le bug a été confirmé par l’équipe des développeurs et est traité comme un bug majeur.
Certains serveurs sous BSD semblent etre aussi vulnérables, en particulier sous NetBSD.
WU-FTPd semble résister à cette attaque (avec un ‘ls’ externe, peut-etre que le ‘ls’ interne expérimental est aussi vulnérable) .
En revanche, toutes les versions de Pure-FTPd possèdent un filtre contre cette attaque.

Url: ProFTPd
Source: Toolinux.com

Catégorie:
News

Laissez un commentaire

Menu Title