Angreifer können über Schwachstellen in Ihrem ProFTPD-Server auf Ihre Daten zugreifen

08. November 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

In dem beliebten FTP-Server ProFTPD können Angreifer durch eine aktuelle Sicherheitslücke ohne Login Ihre Daten manipulieren und sogar beliebige Befehle unter den Rechten des FTP-Servers ausführen lassen.

Die Entwickler haben in der neuen Version 1.3.3c insgesamt drei Fehler ausgemerzt. Der Zugriff auf Ihre Daten wird durch einen Pufferüberlauf bei der Verarbeitung von Telnet-IAC-Sequenzen möglich. Bestimmte Escape-Sequenzen können hier dafür sorgen, dass die Pufferlänge falsch berechnet wird. Dadurch können Angreifer eigenen Code einschleusen und unter den Rechten des proftpd-Prozesses ausführen lassen.

Eine weitere Sicherheitslücke wird laut Changelog der neuen Version ebenfalls behoben. Sie kann Ihnen gefährlich werden, wenn Sie das Modul "mod_site_misc" geladen haben, was standardmäßig jedoch nicht der Fall ist. Angreifer erhalten über einen Directory-Traversal-Fehler Zugriff auf Pfade, die außerhalb ihres eigentlichen FTP-Verzeichnisses liegen. Hier können sie Dateien löschen oder Symlinks anlegen.

Als dritter Fehler konnte ein Authentisierungsproblem mit SQLite bei der Verwendung des SQLAuthType-Backends  behoben werden.

Sie sollten Ihren ProFTPD-Server schnell auf die neue Version 1.3.3c aktualisieren, um die Sicherheitslücken auf Ihrem Server zu schließen.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"