Altes Sicherheitsloch im wu-ftp-Server in Debian Woody wieder geöffnet
Debian meldet ein Sicherheitsloch im Server wu-ftp, mit dem beliebige Befehle im Kontext des FTP-Servers ausgeführt werden können.
Totgesagte leben länger: Debian meldet heute in einem Security Advisory eine Lücke im wu-ftp-Server, die eigentlich seit vier Jahren als beseitigt galt. wu-ftp unterstützt so genannte "Conversion Services", mit dem andere Applikationen zusätzliche Aufgaben erledigen können. Beispielsweise können vor der FTP-Übertragung mehrere Dateien in ein tar-Archiv gepackt werden. Dazu werden von wu-ftp die Dateinamen an den tar-Archiver als Kommandozeilen-Parameter gesendet.
Unter bestimmen Umständen kann ein Angreifer Dateinamen übergeben, die als Parameter interpretiert werden und zum Ausführen von beliebigen Befehlen im Kontext des Servers dienen können. Der fehlerhafte wu-ftp-Server ist in der Debian Woody Distribution (GNU/Linux 3.0) enthalten. Das Sicherheitsloch ist im Paket wu-ftp 2.6.2-3woody2 behoben. Debian empfiehlt, die aktualisierten Pakete zu installieren. (dab)
- Security Advisory von Debian
- Alte Fehlermeldung zu wu.ftp auf Bugtraq
