| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
avis de vulnérabilité 9774
AIX : obtention d'information via FTP NLST
Synthèse de la vulnérabilité
| Un attaquant peut employer la commande FTP NLST (ou LIST), afin de forcer le démon ftpd à générer un coredump, contenant des informations sensibles. |
Gravité : 2/4.
Date création : 19/07/2010.
|
Description de la vulnérabilité
La commande FTP NLST liste les noms des fichiers présents dans un répertoire. La commande FTP LIST liste les fichiers présents dans un répertoire.
Le répertoire d'accueil d'un utilisateur peut être représenté par "~nom".
Lorsqu'un attaquant se connecte sur le service FTP de AIX, et envoie une commande NLST/LIST avec un nom de répertoire d'accueil trop long, un coredump se produit. Cette vulnérabilité pourrait permettre de faire exécuter du code.
Si l'attaquant était dans un répertoire modifiable du serveur FTP, ce serveur génère aussi un fichier coredump. L'attaquant peut alors lire ce fichier, qui peut par exemple contenir les hachés des mots de passe.
Un attaquant peut donc employer la commande FTP NLST/LIST, afin de forcer le démon ftpd à générer un coredump, contenant des informations sensibles. |
Bulletin Vigil@nce complet
Caractéristiques
Titre : AIX : obtention d'information via FTP NLST.
Mots clés : AIX FTP LIST NLST information obtention.
Références : BID-41762, VIGILANCE-VUL-9774.
|
Solutions pour cette vulnérabilité
Compléments
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilité informatique d'applications
|
