Dieser Fehler kann Ihren FTP-Server zum Absturz bringen

11. Oktober 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Angreifern können die neu veröffentlichte Schwachstelle ausnutzen, um durch eine manipulierte Suchanfrage in der Globbing-Funktion den Hauptspeicher Ihres FTP-Servers volllaufen zu lassen.

Der Fehler versteckt sich in der C-Bibliothek Gnu libc, deren Globbing-Funktion von vielen FTP-Servern bei sogenannten Wildcard-Suchbefehlen, über die eine Suche mit Platzhaltern möglich ist, genutzt wird. Ein Angreifer kann eine Suchabfrage derart manipulieren, dass der Arbeitsspeicher des FTP-Servers immer stärker ausgenutzt wird. Der Server verlangsamt sich dadurch stark und stürzt unter Umständen anschließend ab.

Von der Schwachstelle sind die Server von FreeBSD, NetBSD und OpenBSD sowie Oracle Sun Solaris betroffen. Wenn Sie einen FTP-Server mit anonymem Zugang verwalten, sind sie in höherem Maße von dem Problem betroffen, denn Angreifer können den Fehler ohne die Kenntnis von Zugangsdaten ausnutzen. Einige FTP-Server ermöglichen das Deaktivieren der Globbing-Funktion. Wenn dies nicht möglich ist, müssen Sie Ihren FTP-Server mit einem Update aktualisieren.

OpenBSD und NetBSD stehen dafür schon in neuen Versionen bereit, in der die Schwachstelle behoben ist. Die anderen Hersteller haben noch kein Update für die Sicherheitslücke angekündigt. Sobald hier ein Update zum Schließen der Schwachstelle vorhanden ist, sollten Sie es jedoch ebenfalls möglichst zeitnah einspielen. Bis dahin sollten Sie zumindest den anonymen Zugang Ihres FTP-Servers deaktivieren. FTP-Benutzer mit gültigem Passwort können die Schwachstelle dann zwar weiterhin ausnutzen, Angreifer ohne Zugangsdaten jedoch nicht.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"