S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 6 janvier 2004 No CERTA-2003-AVI-210-03

Affaire suivie par :

CERTA

Objet : Vulnérabilité de lftp

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

2 Systèmes affectés

3 Résumé

4 Description

Une vulnérabilité de type débordement de mémoire est présente dans le traitement de la réponse à une commande ls ou rels émise lors d'une session réalisée avec un serveur WEB au moyen des protocoles HTTP ou HTTPS.

Il est ainsi possible, pour un administrateur mal intentionné, de créer un site WEB avec des répertoires constitués de telle façon que, lors de l'analyse du résultat de la réponse à la commande ls ou rels renvoyé par le serveur WEB, du code arbitraire soit exécuté sur la plate-forme client vulnérable.

5 Solution

6 Documentation

• Site de lftp :

  http://lftp.yar.ru/news.html
  

• Bulletin de sécurité MDKSA-2003:116 de Mandrake :

  http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:116
  

• Bulletin de sécurité SuSE-SA:2003:51 de SuSE :

  http://www.suse.com/de/security/2003_051_lftp.html
  

• Bulletin de sécurité RHSA-2003:403 de RedHat :

  http://rhn.redhat.com/errata/RHSA-2003-403.html
  

• Bulletin de sécurité RHSA-2003:404 de RedHat :

  http://rhn.redhat.com/errata/RHSA-2003-404.html
  

• Bulletin de sécurité 200312-07 de Gentoo :

  http://www.securityfocus.com/advisories/6181
  

• Bulletin de sécurité DSA-406 de Debian :

  http://www.debian.org/security/2004/dsa-406
  

• Référence CVE CAN-2003-0963 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0963
  

Gestion détaillée du document

16 décembre 2003

version initiale.

17 décembre 2003

ajout références aux bulletins de sécurité de RedHat.

19 décembre 2003

ajout référence au bulletin de sécurité de Gentoo.

6 janvier 2004

ajout référence au bulletin de sécurité de Debian.