Une faille sur le serveur FTP ‘Serv-U 4.x’

Une vulnérabilité de type « dépassement de mémoire tampon » vient d’être découverte dans les versions inférieures à Serv-U 4.2, serveur FTP sur plate-forme Microsoft

Cette faille exploitable à distance peut permettre à une personne mal intentionnée de prendre le contrôle de la machine cible en y exécutant des commandes arbitraires avec les droits de ce serveur Serv-U. Le problème découle d’un manque de vérifications de la longueur du nom d’un fichier soumis à la commande «

chmod» (laquelle permet de fixer des droits lecture/écriture/exécution sur un fichier). Or, Serv-U est un serveur FTP à destination des plates-formes Microsoft Windows: facile à configurer, il est très utilisé par ceux qui proposent des fichiers en téléchargement sur Internet. Cette faille, avertissent les spécialistes en sécurité, est une aubaine pour les « spammeurs » et autres pirates informatique qui peuvent ainsi s’attaquer aux particuliers afin de se servir de leurs machines comme rebond: à partir de là, ces pirates peuvent, en effet, lancer des attaques sur d’autres serveurs plus importants ou envoyer en masse du ‘spam’, en brouillant les pistes. Attention aux fichiers partagés sans restriction… Même si cette faille nécessite au pirate d’avoir les droits en écriture sur au moins un fichier ou répertoire pour être exploitable, ce détail échappe aux particuliers non sensibilisés: bien souvent, ils ne posent aucune restriction sur leurs fichiers partagés avec Serv-U. Bref, si vous utilisez Serv-U, il est impératif d’installer la version 5.0 de Serv-U qui, elle, n’est pas affectée par ce problème de sécurité. Aurélien Cabezon, Vulnerabilite.com ©