Avis de sécurité ZHFR-806
| Date de publication: | 21/01/2006 | |
Auteur: mircia, Critical Security Team.
Vulnérabilité: Chaîne de format
Impacts:
* Déni de service
* Accès au système
D'où: A distance
Risque: 
Moyen
Solution: Aucun correctif
SE: Windows
Produit: TFTPD32
Versions affectées: 2.xDétails:
mircia a identifié une vulnérabilité dans TFTPD32, celle-ci pourrait être exploitée par des personnes malicieuses afin de causer un déni de service et potentiellement afin de compromettre un système vulnérable.
La vulnérabilité est due à une erreur de chaîne de format (format string) lorsque le nom de fichier reçu dans une requête TFTP est utilisé pour construire un message d'erreur. Cela pourrait être exploité afin de causer le crash de l'application, et potentiellement compromettre un système vulnérable, via un paquet de requête TFTP contenant un nom de fichier spécialement conçu (exemple: "%.1000X").
La vulnérabilité a été confirmée dans la version 2.81, d'autres versions pourraient également être affectées.
Solution:
Aucun correctif.
Références:
http://secunia.com/advisories/18539/
http://www.critical.lt/research/tftpd32_281_dos.txt Avis original
En parler sur le forum...
S'inscrire à la liste de diffusion...
