Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Les serveurs de ProFTPD.org compromis par une vulnérabilité 0day

décembre 2010 par CERT-XMCO

* ProFTPD Compromise Report

 Date : 02 Decembre 2010

 Plateforme : Toutes

 Gravité : Elevée

 Exploitation : Distante

 Dommage : Accès au système

 Description :

Les responsables du site ProFTPd.org viennent de publier une alerte annonçant la compromission de leurs serveurs.

En effet, dimanche 28 novembre, des pirates se sont introduits au sein des serveurs hébergeant le site ProFTPD.org en exploitant une vulnérabilité 0day au sein du logiciel ProFTPd !

Ces derniers auraient remplacé le code source de la version ProFTPd 1.3.3c en y plaçant une porte dérobée. Le code ajouté par les pirates permettrait d’accéder à un système sur lequel est installé ProFTPd avec l’utilisateur root. La simple commande FTP "HELP ACIDBITCHEZ" permettait à un pirate de prendre le contrôle du serveur.

Par conséquent, toutes les versions téléchargées entre le 28 novembre et le 2 décembre contiendraient un code malveillant. Les utilisateurs concernés doivent donc télécharger à nouveau une version saine de ProFTPd dont voici les contrôles d’intégrité MD5 :

proftpd-1.3.3c.tar.bz2 : 8571bd78874b557e98480ed48e2df1d2

proftpd-1.3.3c.tar.gz : 4f2c554d6273b8145095837913ba9e5d

ProFTPd publiera prochainement une mise à jour corrigeant la vulnérabilité 0day exploitée par les pirates.

Le CERT-XMCO recommande d’utiliser la commande "strings /usr/sbin/proftpd | grep ACIDBITCHEZ" afin de savoir si la version utilisée du serveur est impactée ou non par cette vulnérabilité.

 Référence :

http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

http://pastebin.ca/2007709

 Correction :

Aucun correctif n’est actuellement disponible.

Le CERT-XMCO recommande à tous les utilisateurs de ProFTPd de vérifier si leur installation est vulnérable ou non à l’aide de la commande "strings /usr/sbin/proftpd | grep ACIDBITCHEZ". Dans le cas où cette commande retourne une chaine de caractères, il est préférable d’arrêter le serveur et de mettre en place une solution de contournement (c.-à-d. installer d’une version antérieure, bloquer les accès...).

 Lien extranet XMCO Partners :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1673


Voir les articles précédents

    

Voir les articles suivants