Date de Publication: 2003-08-01
 Titre: WU-FTPD "fb_realpath" Buffer Overflow Vulnerability
 K-Otik ID : 0280
 CVE : CAN-2003-0466
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Une vulnérabilité a été identifiée dans Wu-Ftpd, elle pourrait permettre à un attaquant distant l'exécution de code arbitraire avec les privilèges "root". Le problème résulte d'une erreur dans la fonction "fb_realpath()" en calculant la longueur d'une chaine. Un utilisateur identifié, ayant des droits en écriture peut, à travers différentes commande compromettre le système vulnérable.


 * Versions Vulnérables *

WU-FTPD versions 2.6.2 et inférieures.
Vulnérable sous : kernel versions 2.0.x ou 2.4.x


  * Solution *
 
Aucun patch n'est disponible pour l'instant.
http://www.wuftpd.org/

  * Références *

http://www.kb.cert.org/vuls/id/743092


  * Crédits *
 
Faille découverte par iSEC Security Research (Août 2003).