MLDonkey 3.0 schließt Sicherheitslücke

Das Filesharing-Programm MLDonkey weist eine Sicherheitslücke auf, die Zugang zu beliebigen Dateien auf dem System ermöglicht.

61

16.03.2009, 15:09 Uhr

Lesezeit: 1 Min.

Security

Von

Jürgen Schmidt

Das Filesharing-Programm MLDonkey weist eine Sicherheitslücke auf, die Zugang zu beliebigen Dateien auf dem System ermöglicht. Der Web-Server zur Steuerung des P2P-Programms, der typischerweise auf TCP-Port 4080 läuft, filtert Eingaben nicht ausreichend. So kann man durch einen doppelten / aus dem vorgegebenen Verzeichnis ausbrechen:

http://mlhost:4080//etc/passwd

Version 3.0 behebt diesen Fehler, die betroffenen Linux-Distributoren liefern zum Teil auch bereits entprechend aktualisierte Pakete aus.

Siehe dazu auch:

Http double slash request arbitrary file access vulnerability, Bug-Rport bei MLDonkey
WICHTIG: MLDonkey 3.0.0 Ankündigung im MLDonkey-Forum

(ju)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

MLDonkey 3.0 schließt Sicherheitslücke

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.