Dateimanager Midnight Commander seit neun Jahren angreifbar

Angreifer hätten sich in mit dem Dateimanager Midnight Commander aufgebaute Verbindungen einklinken können. Das verwundbare Feature wurde vor neun Jahren eingeführt. Nun gibt es einen Sicherheitspatch.

Verbindungen belauschen

Wie aus einer Mailing-Liste hervorgeht, wurde die Lücke (CVE-2021-36370) im Zuge einer Prüfung der Software (Audit) in der SFTP-VFS-Komponente entdeckt. Dabei fiel auf, dass die Fingerprints von entfernten Hosts zwar berechnet, aber nicht überprüft werden.

Demzufolge könnte ein Angreifer ohne Authentifizierung als Man in the Middle in Verbindungen schauen. Wie das im Detail funktioniert, ist bislang nicht bekannt. Eine Einstufung des Schweregrads der Schwachstelle steht noch aus.

Einem Beitrag der Midnight-Commander-Entwickler zufolge wurde des SFTP-VFS-Features vor neun Jahren in der Version 4.8.4 eingeführt. Das legt nahe, dass die Software seitdem angreifbar war. Ob bereits Attacken stattgefunden haben, ist unklar. Nun ist die dagegen abgesicherte Ausgabe 4.8.27 erschienen. Laut den Einträgen im Changelog haben die Entwickler darüber hinaus noch mehrere Bugs beseitigt und die Funktionsweise optimiert.

(des)