Angreifer können über Schwachstellen in Ihrem ProFTPD-Server auf Ihre Daten zugreifen

08. November 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

In dem beliebten FTP-Server ProFTPD können Angreifer durch eine aktuelle Sicherheitslücke ohne Login Ihre Daten manipulieren und sogar beliebige Befehle unter den Rechten des FTP-Servers ausführen lassen.

Die Entwickler haben in der neuen Version 1.3.3c insgesamt drei Fehler ausgemerzt. Der Zugriff auf Ihre Daten wird durch einen Pufferüberlauf bei der Verarbeitung von Telnet-IAC-Sequenzen möglich. Bestimmte Escape-Sequenzen können hier dafür sorgen, dass die Pufferlänge falsch berechnet wird. Dadurch können Angreifer eigenen Code einschleusen und unter den Rechten des proftpd-Prozesses ausführen lassen.

Eine weitere Sicherheitslücke wird laut Changelog der neuen Version ebenfalls behoben. Sie kann Ihnen gefährlich werden, wenn Sie das Modul "mod_site_misc" geladen haben, was standardmäßig jedoch nicht der Fall ist. Angreifer erhalten über einen Directory-Traversal-Fehler Zugriff auf Pfade, die außerhalb ihres eigentlichen FTP-Verzeichnisses liegen. Hier können sie Dateien löschen oder Symlinks anlegen.

Als dritter Fehler konnte ein Authentisierungsproblem mit SQLite bei der Verwendung des SQLAuthType-Backends  behoben werden.

Sie sollten Ihren ProFTPD-Server schnell auf die neue Version 1.3.3c aktualisieren, um die Sicherheitslücken auf Ihrem Server zu schließen.

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

+ Gratis Viren-Eilmeldungen per E-Mail

  • Keine Chance für Hacker!
  • Von PC-Sicherheits-Experten geprüft!
  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!

Weitere Artikel zum Thema

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!
DDV Qualitätsstandard E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.
Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"