Vigil@nce : ProFTPd, injection de commandes avec STARTTLS
avril 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Même si le client FTP vérifie le certificat TLS du serveur, un
attaquant peut injecter des commandes dans la session.
– Gravité : 2/4
– Date création : 04/04/2011
PRODUITS CONCERNÉS
– ProFTPD
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut se placer en Man-in-the-Middle entre un client
et un serveur FTP pour y injecter des commandes. Les clients
utilisant TLS détectent cette attaque lorsqu’ils vérifient la
signature avec le certificat TLS fournit par le serveur.
Lorsque le protocole FTP est encapsulé dans une session TLS (RFC
4217), le client commence la session FTP en mode texte, puis entre
la commande STARTTLS, qui démarre un tunnel TLS à l’intérieur
duquel la session FTP reprend.
Cependant, si un attaquant envoie une commande FTP après le
STARTTLS, elle est dans le buffer de la session FTP. Lorsque la
session reprend, la commande de l’attaquant est donc la première à
être interprétée. Cette erreur est due au buffer de réception qui
n’a pas été vidé avant de reprendre la session FTP.
Même si le client FTP vérifie le certificat TLS du serveur, un
attaquant peut donc injecter des commandes dans la session.
Cette vulnérabilité est une variante de VIGILANCE-VUL-10428
(https://vigilance.fr/arbre/1/10428) et VIGILANCE-VUL-10463
(https://vigilance.fr/arbre/1/10463).
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ProFTPd-injection-de-commandes-avec-STARTTLS-10513