Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Veille en sécurité informatique

Vim Netrw Divulgation d'Identifiants FTP : Faille de Sécurité


13/08/2008 14H50
Référence Secunia : SA31464 
Date de publication : 2008-08-13

Risque : Non Critique. Niveau 2 sur 5. securite reseau
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Non corrigée


Produit :
Vim 7.x


Description :
Jan Minar a découvert une faille de sécurité dans Vim, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations sensibles.

Le problème de sécurité est causé du fait que le plugin Netrw envoyant le nom d'utilisateur et mot de passe FTP sauvegardé après la première identification FTP à des serveurs FTP sous-jacents. Cela pourrait être exploité pour divulguer les informations d'authentification FTP sauvegardées en poussant l'utilisateur à se connecter à un serveur FTP malicieux dans la même session Vim.

Le problème de sécurité est confirmé en version 7.2 avec netrw.vim version 132. Les autres versions pourraient également être affectées.


Solutions :
Ne pas se connecter à non-fiable des serveurs FTP en utilisant Vim.


Vulnérabilité découverte par :

Jan Minar

Référence :
http://www.rdancer.org/vulnerablevim-netrw-credentials-dis.html




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081125 Red Hat mise à jour pour vim 3
20081106 Net DNS phpdns basedir Vulnérabilité d'Inclusion de Fichier 4
20081103 Net snmp GETBULK Dépassement d'Entier Déni de Service 2
20080813 Vim Netrw FTP Credentials Disclosure Faille de Sécurité
20080718 Vim configure in Fichiers Temporaires Insécurisés
20080616 Vim Injection de Commande Shell Vulnérabilités
20080610 Net SNMP HMAC Authentication Spoofing Vulnérabilité
20080225 Net Activity Viewer Elévation de Privilèges Faille de Sécurité
20071130 FTP Admin Vulnérabilités Diverses
20071108 Net snmp GETBULK Vulnérabilité de Déni de Service
20070501 Vim Modelines feedkeys Exécution de Commandes Shell
20061208 Net SNMP rocommunity et rouser Contournement de la Sécurité
20060420 Net Clubs Pro Vulnérabilités Cross Site Scripting
20050726 Vim Modelines Exécution de Commandes Shell
20050706 Net snmp Stream based Protocol Déni de Service
20050524 Net snmp fixproc Création Non Sécurisée de Fichiers Temporaires
20050408 FTP Now divulgation des informations d authentification utilisateur
20050113 vim Création Non Sécurisée de Fichiers Temporaires
20041216 Vim Gvim Modelines Exécution de Commandes
20041216 Gentoo mise à jour pour vim gvim
20040907 Net Acct Création Non Sécurisée de Fichiers Temporaires Vulnérabilité
20040727 FTP Surfer File Handling Vulnérabilité de Dépassement de Tampon
20040218 FTP Broker Connection Handling Vulnérabilités de Déni de Service
20030909 Net SNMP Unauthenticated MIB Object Access Vulnérabilité
20030908 FTP Desktop Banner Vulnérabilité de Dépassement de Tampon
20030611 FTP Voyager Long Filename Buffer Overflow
20021003 Net snmp Déni de Service
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe