MLDonkey 3.0 schließt Sicherheitslücke
Das Filesharing-Programm MLDonkey weist eine Sicherheitslücke auf, die Zugang zu beliebigen Dateien auf dem System ermöglicht.
Das Filesharing-Programm MLDonkey weist eine Sicherheitslücke auf, die Zugang zu beliebigen Dateien auf dem System ermöglicht. Der Web-Server zur Steuerung des P2P-Programms, der typischerweise auf TCP-Port 4080 läuft, filtert Eingaben nicht ausreichend. So kann man durch einen doppelten / aus dem vorgegebenen Verzeichnis ausbrechen:
http://mlhost:4080//etc/passwd
Version 3.0 behebt diesen Fehler, die betroffenen Linux-Distributoren liefern zum Teil auch bereits entprechend aktualisierte Pakete aus.
Siehe dazu auch:
- Http double slash request arbitrary file access vulnerability, Bug-Rport bei MLDonkey
- WICHTIG: MLDonkey 3.0.0 Ankündigung im MLDonkey-Forum
(ju)