heise PlusAbo
Alert!

ProFTPD: Codeschmuggel durch mod_sql möglich

Der FTP-Server ProFTPD bringt ein Modul mod_sql mit. Es enthält eine SQL-Injection-Schwachstelle, die am Ende zur Ausführung von untergejubeltem Code führt.

vorlesen Druckansicht 1 Kommentar lesen
Ein Kreis-Pfeil, auf den ein Mensch mit Finger klickt.

(Bild: Shutterstock/chanpipat)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Eine Schwachstelle im FTP-Server ProFTPD kann zur AusfĂĽhrung eingeschleusten Schadcodes fĂĽhren. Das Sicherheitsleck findet sich im mitgelieferten mod_sql. Ein Proof-of-Concept-Exploit ist bereits verfĂĽgbar.

Laut der Schwachstellenbeschreibung ist mod_sql von ProFTPD vor der Version 1.3.10rc1 von der Sicherheitslücke betroffen. Durch den übertragenen Nutzernamen können bösartige Akteure aus dem Netz ohne vorherige Anmeldung beliebige SQL-Befehle und Schadcode einschleusen. Das gelingt in Szenarien, die USER-Anfragen mit Erweiterungen wie „%U“ loggen und in denen das SQL-Backend Befehle zulässt, beispielsweise „COPY TO PROGRAM“ (CVE-2026-42167, CVSS 8.1, Risiko „hoch“).

Aktualisierte Software

ProFTPD 1.3.10rc1 ist am Montag erschienen und schlieĂźt die SicherheitslĂĽcke, wie die Release-Notizen anzeigen. Die Entwickler haben zudem einen Backport des Sicherheitsfixes programmiert, ProFTPD 1.3.9a stopft das Sicherheitsleck ebenfalls.

Welche Systeme konkret betroffen sind, ist jedoch unklar. Einige große Distributionen wie Ubuntu bieten das mod_sql für ProFTPD als zusätzliches Installationspaket an, es kommt in der Standardinstallation also nicht unbedingt mit. Admins sollten daher prüfen, ob sie das mod_sql etwa für Logging in Datenbanken überhaupt einsetzen.

Die Internet-Dienst-Datenbank Shodan listet aktuell rund 690.000 ProFTPD-Instanzen weltweit. Die meisten davon, ĂĽber 133.000, laufen in Deutschland, erst an zweiter Stelle folgen die USA.

Videos by heise

ProFTPD ist bereits lange stabil, größere Sicherheitslücken finden sich nur noch selten darin. Etwa Ende November 2024 wurde aber etwa eine Rechteausweitungslücke in ProFTPD entdeckt. Auch damals war das mod_sql Auslöser für die Sicherheitswarnung. Wurde mod_sql in ProFTPD genutzt, ermöglichte das unberechtigten Zugriff auf Dateien und Ordner mit Root-Gruppenrechten (GID 0).

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten