Vigil@nce - vsftpd : contournement de deny_hosts
février 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut contourner la directive deny_hosts de vsftpd,
afin d’accéder à des fichiers interdits.
Produits concernés : openSUSE, SUSE Linux Enterprise Desktop,
SLES, vsftpd
Gravité : 2/4
Date création : 03/02/2015
DESCRIPTION DE LA VULNÉRABILITÉ
La directive deny_file du fichier vsftpd.conf permet de
restreindre l’accès à un fichier. Par exemple
"deny_file=/home/*".
Cependant, en utilisant par exemple la syntaxe "/./home/", un
attaquant peut accéder aux fichiers situés sous "/home".
Un attaquant peut donc contourner la directive deny_hosts de
vsftpd, afin d’accéder à des fichiers interdits.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/vsftpd-contournement-de-deny-hosts-16099