Vigil@nce : Filezilla, troncature de fichier
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut forcer la coupure de la connexion. La victime ne
recevra pas le fichier complet, et cela sans avertissement de la
part de FileZilla.
Gravité : 3/4
Conséquences : effacement de données, déni de service du client
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 01/08/2008
Référence : VIGILANCE-VUL-7986
PRODUITS CONCERNÉS
– Fedora [versions confidentielles]
– Microsoft Windows - plateforme
– Unix - plateforme
DESCRIPTION
Le client FTP FileZilla permet une connexion sécurisée SSL/TLS.
En fin de transfert de fichier, le serveur FTP réalise un
fermeture TLS. FileZilla ne vérifie pas si cette clôture TLS a été
effectuée.
Un attaquant peut envoyer un paquet FIN au client FileZilla, afin
de couper le transfert de données. La victime ne se rendra pas
compte que le fichier reçu n’est pas complet, car elle ne recevra
pas d’avertissement de la part de FileZilla.
Un attaquant peut donc forcer la coupure du transfert de fichier.
CARACTÉRISTIQUES
Références : 457274, FEDORA-2008-6812, FEDORA-2008-6865,
VIGILANCE-VUL-7986