Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

IBM AIX ftpd quote cwd : Divulgation de Chemin Complet Faille

22/05/2008 10H37
Référence Secunia : SA30360 
Date de publication : 2008-05-22

Risque : Non Critique. Niveau 1 sur 5.
Impact : Exposition d'informations systèmes
Lieu : A distance


Solutions :
Correctif de l'éditeur

OS :
AIX 5.x
AIX 6.x

Référence CVE :
CVE-1999-0201


Description :
Une faiblesse a été rapportée dans IBM AIX, qui pourrait être exploitée par des personnes malintentionnées afin de divulguer des informations système.

Le problème est qu'il est possible de divulguer le chemin complet du répertoire home d'un utilisateur FTP anonyme via un "quote cwd" command sur un serveur ftpd avec anonymous login activé.

Le défaut est rapporté en versions 5.2, 5.3, et 6.1.


Solutions :
Appliquer corrige ou APARs dès qu'ils seront disponibles.
http://aix.software.ibm.com/aix/efixes/security/ftpd_fix.tar
aix.software.ibm.com/aix/efixes/security/ftpd_fix.tar

-- APARS --

AIX 5.2.0:
IZ18670 (disponible approximativement 20/6/2008)

AIX 5.3.0:
IZ22357 (disponible approximativement 20/6/2008)

AIX 5.3.7:
IZ22358 (disponible approximativement 20/6/2008)

AIX 5.3.8:
IZ21529 (disponible approximativement 20/6/2008)

AIX 6.1.0:
IZ22356 (disponible approximativement 20/6/2008)


Vulnérabilité découverte par :

L'éditeur crédite ISS X-Force.

Référence :
http://aix.software.ibm.com/aix/efixes/security/ftpd_advisory.asc




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.