CERTA : Multiples vulnérabilités dans gFTP
novembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
Les versions de gFTP utilisant la bibliothèque fpslib antérieure à la version
0.9.
3 Résumé
gFTP est un client FTP utilisant une bibliothèque contenant deux
vulnérabilités.
4 Description
Le logiciel gFTP est un client graphique ftp pour l’interface GNOME. Pour
offrir la compatibilité avec le protocole FPS (File service Protocol), il
utilise la bibliothèque fpslib qui contient deux vulnérabilités concernant le
traitement des noms longs de répertoire. Une personne malveillante peut
exécuter du code arbitraire sur la machine d’un utilisateur, lorsque ce dernier
accède à un serveur contenant des noms de répertoire spécifiquement formés, à
l’aide du client gFTP.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Gentoo GLSA-200711-01 du 01 novembre 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200711-01.xml
* Alerte de Secunia numéro 26378 du 09 août 2007 :
http://secunia.com/advisories/26378/
* Alerte de Secunia numéro 27501 du 02 novembre 2007 :
http://secunia.com/advisories/27501/
* Référence CVE CVE-2007-3961 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3961
* Référence CVE CVE-2007-3962 :