Vigil@nce : vsftpd, déni de service a l’authentification
juillet 2008 par Vigil@nce
SYNTHÈSE
Un attaquant distant peut réaliser de nombreuses tentatives de
connexions non valides afin de créer un déni de service.
Gravité : 3/4
Conséquences : déni de service du service
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 25/07/2008
Référence : VIGILANCE-VUL-7971
PRODUITS CONCERNÉS
– Red Hat Enterprise Linux [versions confidentielles]
– vsftpd [versions confidentielles]
DESCRIPTION
Avant la version 2.0.5, le serveur FTP vsftpd ne limitait pas le
nombre de tentatives d’authentification.
Lors de l’authentification une zone mémoire n’est pas libérée. Un
attaquant peut donc tenter de nombreuses authentifications dans la
même session FTP afin d’utiliser toute la mémoire du processus.
Les détails techniques ne sont pas connus.
Un attaquant distant peut donc réaliser de nombreuses tentatives
de connexions non valides afin de créer un déni de service.
CARACTÉRISTIQUES
Références : 197141, BID-30364, CVE-2008-2375, RHSA-2008:0579-01, RHSA-2008:0680-01, VIGILANCE-VUL-7971