Vigil@nce : Apache httpd, envoi de commandes FTP via mod_proxy_ftp
septembre 2009 par Vigil@nce
Un attaquant authentifié peut employer mod_proxy_ftp pour envoyer
des commandes FTP à un serveur FTP distant.
Gravité : 1/4
Conséquences : accès/droits utilisateur
Provenance : compte utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : moyenne (2/3)
Date création : 22/09/2009
PRODUITS CONCERNÉS
– Apache httpd
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– Mandriva Multi Network Firewall
DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur Apache contient un module "mod_proxy_ftp" permettant de
gérer les requêtes FTP en fonctionnement proxy ("ProxyRequests On"
dans le fichier de configuration).
Pour s’authentifier sur un serveur FTP distant, l’utilisateur du
proxy peut :
– soit ajouter "user:pass" dans l’url
– soit ajouter un entête Authorization contenant "Basic
base64(user:pass)"
La fonction proxy_ftp_handler() du fichier
modules/proxy/mod_proxy_ftp.c extrait le login et le mot de passe.
Cependant, elle ne vérifie pas si le mot de passe provenant de
l’entête Authorization contient des sauts de lignes.
Un attaquant peut donc par exemple utiliser :
Authorization : Basic base64(user:pass\r\ncwd /)
pour changer le répertoire courant.
Un attaquant authentifié peut ainsi employer mod_proxy_ftp pour
envoyer des commandes FTP à un serveur FTP distant.
CARACTÉRISTIQUES
Références : CVE-2009-3095, MDVSA-2009:240, VIGILANCE-VUL-9038
Pointé dans : VIGILANCE-VUL-9000
http://vigilance.fr/vulnerabilite/Apache-httpd-envoi-de-commandes-FTP-via-mod-proxy-ftp-9038