Phrack-Lücke in ProFTPD geschlossen

Das Entwicklerteam hinter ProFTPD hat eine kritische Sicherheitslücke geschlossen, die den Entwicklern kürzlich selbst zum Verhängnis wurde.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Das Entwicklerteam hinter ProFTPD hat mit Version 1.3.3d unter anderem eine kritische Sicherheitslücke im SQL-Modul aller bisherigen Versionen geschlossen, die vor rund einem Monat im Hackermagazin Phrack publiziert wurde. Durch einen Buffer Overflow in der Funktion sql_prepare_where() konnten Angreifer aus der Ferne beliebigen Code auf dem Server ausführen. Das wurde auch den Entwicklern zum Verhängnis: Durch die Lücke gelang es Unbekannten, in den Projektserver einzudringen und eine Backdoor im Quellcode zu platzieren.

In der neuen Version wurden noch diverse weitere Bugs gefixt, wodurch der unter der GPL lizenzierte FTP-Server nun noch stabiler laufen soll. Parallel haben die Entwickler den ersten Release Candidate der Version 1.3.4 veröffentlicht.
(rei)