zurück zum Artikel

Standard-FTP-Client tnftp führt Schadcode aus

Ronald Eikenberg

Der Kommandozeilen-FTP-Client von Mac OS X sowie diversen BSD-Derivaten und Linux-Distributionen führt beliebige Shell-Befehle aus, wenn er von einem Server dazu aufgefordert wird.

Der quelloffene FTP-Client tnftp [1] führt unter bestimmten Umständen beliebige Befehle [2] aus, wenn er sich mit einem Server verbindet. Betroffen sind BSD-Abkömmlinge wie NetBSD und Mac OS X sowie diverse Linux-Distributionen.

Startet man mit tnftp den Download einer Datei über HTTP, ohne über den Parameter -o den Name der Ausgabedatei anzugeben (etwa mit ftp http://server/path/file.txt ), versucht der Client den Dateinamen selbstständig abzuleiten. Dazu nutzt er normalerweise den Teil hinter dem letzten Schrägstrich (file.txt). Der Server kann den Client mit einem HTTP-Redirect zu einer anderen URL schicken. Hängt an dieser Redirect-URL der Pipe-Operator (|) sowie ein Shell-Befehl, gibt der Client den Befehl an popen() weiter und es kommt zur Auführung. Der Code kann sowohl von einem manipulierten FTP-Server kommen als auch von einem Angreifer in der Position des Man-in-the-Middle in die unverschlüsselte Verbindung eingeschleust werden.

Für NetBSD steht bereits ein Patch bereit [3]. Alistair Crooks, der Security Officer des Projekts, erklärt in der Mailingliste oss-sec, dass er die Entwickler von FreeBSD und Dragonfly BSD über das Sicherheitsproblem informiert hat. Auch Mac OS X ist einschließlich der aktuellen Version 10.10 (Yosemite) verwundbar, weshalb er auch Apple in Kenntnis gesetzt hat. heise Security konnte das Problem unter OS X nachvollziehen. In den Bugtrackern von Debian [4], Red Hat [5] und Suse [6] finden sich ebenfalls entsprechende Einträge. (rei [7])

URL dieses Artikels:
https://www.heise.de/-2438221

Links in diesem Artikel:
[1] http://en.wikipedia.org/wiki/Tnftp
[2] http://seclists.org/oss-sec/2014/q4/459
[3] http://seclists.org/oss-sec/2014/q4/459
[4] https://security-tracker.debian.org/tracker/CVE-2014-8517
[5] http://bugzilla.redhat.com/show_bug.cgi?id=1158286
[6] https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-8517
[7] mailto:rei@heise.de

Copyright © 2014 Heise Medien