Sicherheitslücke in FTP-Server für Linux

Ein Fehler in dem FTP-Daemon WU-FTP beschert den meisten unter Linux laufenden FTP-Servern eine neue Sicherheitslücke, die das "File-Globbing"-Feature von WU-FTP beziehungsweise einen Fehler betrifft, der bei dieser Funktion zu einer Heap-Korrumpierung führen kann.

Anfang der Jahres hatte ein bereits seit letztem Sommer bekanntes Sicherheitsproblem von WU-FTP, das auf vielen Servern nicht behoben worden war, die schnelle Verbreitung der Linux-Würmer Ramen und Adore ermöglicht. WU-FTP ist der unter Linux am häufigsten genutzte FTP-Server.

Zwar existiert noch kein Schädling, der die auf Bugtraq genauer beschriebene neue Sicherheitslücke ausnutzt, aber im Prinzip lässt sich darüber eigener Code auf einen FTP-Server bringen. Vor allem anonyme FTP-Server sind daher in hohem Maße gefährdet. Die bekannten Linux-Distributoren stellen aktualisierte WU-FTP-Versionen bereit, in denen der Fehler behoben ist. Betroffene Administratoren sollten ihre Server unverzüglich aktualisieren oder den FTP-Dienst vorübergehend abschalten. (odi)