SQL-Injection-Lücke in ProFTPD geschlossen
Durch Angabe bestimmter Nutzernamen und Passwörter soll es möglich sein, sich als beliebiger Anwender anzumelden. Ein Exploit kursiert bereits.
- Daniel Bachfeld
Für eine kürzlich bekannt gewordene Sicherheitslücke in ProFTPD 1.3.1 ist ein Exploit aufgetaucht. Nach Angaben des Internet Storm Center registrieren einige Anwender auch bereits erste Versuche, die Lücke mit dem Exploit auszunutzen, um Zugriff auf den FTP-Server zu erhalten.
Bei der Lücke handelt es sich um eine SQL-Injection-Lücke in den Modulen mod_sql_mysql und mod_sql_postgres in Zusammenhang mit der Nutzer-Authentifizierung via SQL. Dabei soll es möglich sein, durch Angabe bestimmter Nutzernamen und Passwörter sich als beliebiger Anwender anzumelden. Installationen, die Basis der Systemnutzer, sind nicht betroffen.
Neben dem Update auf Version 1.3.2 steht auch ein Patch bereit. Die Linux-Distributoren dürften demnächst ebenfalls aktualisierte Pakete herausgeben.
Siehe dazu auch:
- Fixes vulnerability in mod_sql_mysql, mod_sql_postgres, Bericht in der Fehlerdatenbank von ProFTPD
(dab)