Vor einer kritischen Sicherheitslücke im verbreiteten FTP-Server ProFTPD, durch die ein anonymer Nutzer offenbar Schreiboperationen auf dem Server durchführen kann, obwohl ihm das eigentlich nicht gestattet ist, warnt das CERT-Bund des BSI. Dieser Fehler soll sich, den Angaben im Bugtracker zufolge, potenziell zum Einschleusen und Ausführen von Code missbrauchen lassen (Remote Code Execution, RCE).

Versionen, die kleiner als 1.3.7 sind, sind betroffen. Die Sicherheitslücke befindet sich im Modul mod_copy. Die Lage für Admins ist derzeit verzwickt, da es laut CERT-Bund noch keinen Patch gibt, der die Lücke schließt. Das Problem wurde im Github-Repository zwar bereits beseitigt – erfahrungsgemäß dauert es jedoch eine Zeit, bis die Änderungen auch die Installationspakete erreichen, die etwa über die Repositories der Linux-Distributionen verteilt werden.

Die Schwachstelle mit der Identifikationsnummer CVE-2019-12815 wurde von dem deutschen Programmierer Tobias Mädel entdeckt. Laut seinem Advisory berichtet er, dass er das ProFTPD-Team erstmals am 28. September vergangenen Jahres über das Problem informierte. Das Security-Team von Debian infomierte er am 12. Juni dieses Jahres und am 17. Juli wurde schließlich ein erster Patch bei Github eingereicht.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE