Dateimanager Midnight Commander seit neun Jahren angreifbar
Es gibt ein wichtiges Sicherheitsupdate fĂĽr Midnight Commander.
Angreifer hätten sich in mit dem Dateimanager Midnight Commander aufgebaute Verbindungen einklinken können. Das verwundbare Feature wurde vor neun Jahren eingeführt. Nun gibt es einen Sicherheitspatch.
Verbindungen belauschen
Wie aus einer Mailing-Liste hervorgeht, wurde die LĂĽcke (CVE-2021-36370) im Zuge einer PrĂĽfung der Software (Audit) in der SFTP-VFS-Komponente entdeckt. Dabei fiel auf, dass die Fingerprints von entfernten Hosts zwar berechnet, aber nicht ĂĽberprĂĽft werden.
Demzufolge könnte ein Angreifer ohne Authentifizierung als Man in the Middle in Verbindungen schauen. Wie das im Detail funktioniert, ist bislang nicht bekannt. Eine Einstufung des Schweregrads der Schwachstelle steht noch aus.
Einem Beitrag der Midnight-Commander-Entwickler zufolge wurde des SFTP-VFS-Features vor neun Jahren in der Version 4.8.4 eingeführt. Das legt nahe, dass die Software seitdem angreifbar war. Ob bereits Attacken stattgefunden haben, ist unklar. Nun ist die dagegen abgesicherte Ausgabe 4.8.27 erschienen. Laut den Einträgen im Changelog haben die Entwickler darüber hinaus noch mehrere Bugs beseitigt und die Funktionsweise optimiert.
(des)