Software::Security

ProFTPD 1.3.3d korrigiert Sicherheitslücke

Anfang dieses Monats hatten die Entwickler des bekannten FTP-Servers ProFTPD bekannt gegeben, dass Unbekannte eine Sicherheitslücke in der Implementierung des Servers ausgenutzt haben, um nicht nur in das System einzubrechen, sondern auch eine Hintertür im Quellcode zu platzieren. Wer sich in der Zeit zwischen dem 28. November und dem 1. Dezember das aktuelle Quellcode-Archiv von proftpd 1.3.3c heruntergeladen hat, hat eine modifizierte Version erhalten.

Grund für den erfolgreichen Angriff war eine Sicherheitslücke in sql_prepare_where(), die das Magazin Phrack vor einem Monat publizierte. Darin zeigen die Hacker, wie ein Heap-Pufferüberlauf aus der Ferne generiert werden kann, der wiederum zur Ausführung von Codestellen genutzt werden kann. Es sollte allerdings noch fast einen Monat dauern, bis eine Korrektur für dieses Problem herausgegeben wurde.

Nun steht mit der Version ProFTPD 1.3.3d eine korrigierte Version des Servers zur Verfügung. Darin enthalten sind neben der Korrektur der Sicherheitslücke auch zahlreiche weitere Korrekturen. Unter anderem haben die Entwickler die Handhabung von SFTP-Uploads korrigiert, wenn Kompression benutzt wurde. Ferner wurde ein Problem mit hoher CPU-Last eliminiert, wenn der Server auf .ftpaccess-Dateien zugriff.

Die komplette Liste aller Änderungen ist in der News-Datei zu finden. Parallel haben die Entwickler auch einen ersten Veröffentlichungskandidaten der Version 1.3.4 veröffentlicht.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Google gibt WindowBuilder und CodePro... 
• X.org 7.6 freigegeben