ProFTPd est un serveur FTP libre. Ses auteurs l’annoncent comme puissant et parfaitement sécurisé sur le site web dédié au logiciel. Il est maintenant largement utilisé sur les serveurs Web.
Il y a deux jours, Kingcope a publié un exploit (EDB-ID-15449) visant :
- ProFTPD 1.3.3a on FreeBSD 8.1 i386
- ProFTPD 1.3.2a/e/c on FreeBSD 8.0/7.3/7.2 i386
- ProFTPD 1.3.2e (Plesk binary) on Debian GNU/Linux 5.0
- ProFTPD 1.3.3 (Plesk binary) on Debian GNU/Linux 5.0
- ProFTPD 1.3.2e (Plesk binary) on Debian GNU/Linux 4.0
- ProFTPD 1.3.3a (distro binary) on Debian Linux Squeeze/sid
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux 9.3
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux 10.0/10.3
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux 10.2
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux 11.0
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux 11.1
- ProFTPD 1.3.2e (Plesk binary) on SUSE Linux SLES 10
- ProFTPD 1.3.2e (Plesk binary) on CentOS 5
On remarquera que tous les “Plesk binaries” sont concernés par la vulnérabilité. Toutes les versions de Plesk entre la 9.5 et la 10.0 incluse sont vulnérables.
Voici ci-dessous, une vidéo de démonstration montrant plusieurs exploits.
[youtube NrUnsC72w3I nolink]