S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 03 janvier 2005
N^o CERTA-2004-AVI-412-001

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans le service FTP sous HP-UX

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-412

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2004-AVI-412-001
Titre	Vulnérabilité dans le service FTP sous HP-UX
Date de la première version	22 décembre 2004
Date de la dernière version	03 janvier 2005
Source(s)	Bulletin de sécurité iDefense du 21 décembre 2004
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire ;
élevation de privilèges.

2 Systèmes affectés

HP-UX version 11.11i.

3 Description

Une vulnérabilité présente dans le service de transfert de fichier FTP sous HP-UX permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du service FTP lorsque celui-ci a été démarré avec l'option -v (debug) à partir du service inetd.

4 Solution

Appliquer les correctifs fournis par l'éditeur suivant la version impactée.

5 Documentation

Bulletin de sécurité iDefense "Hewlett Packard HP-UX ftpd Remote Buffer overflow vulnerability" du 21 décembre 2004 :
```
http://www.idefense.com/application/poi/display?id=175&type=vulnerabilities
```
Bulletin de sécurité HP HPSBUX0107-162 "ftp and ftpd remote unauthorized access" du 22 décembre 2004 :
```
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0107-162
```

Gestion détaillée du document

22 décembre 2004: version initiale.
03 janvier 2005: ajout référence au bulletin de sécurité de HP.

CERTA
2012-01-04