Linux-FTP-Server-Lücke behoben
SecurityFocus warnt vor einer Lücke im Linux-FTP-Server wu-ftpd, der in vielen Linux-Distributionen enthalten ist.
Red Hat veröffentlichte - gegen die interne Abmachung - einen Patch. Jetzt sind alle im Zugzwang.
Mißbrauch nur mit Guest-Account
Die Lücke im FTP-Zugang kann nur bei Servern mit offenem
Guest-Account [Anonymous] genutzt werden. SecurityFocus
demonstriert, wie die Lücke funktioniert. Über den Remote-Zugang
kann über die Lücke Code auf dem Server ausgeführt werden.
SecurityFocusSuSE, Red Hat und Mandrake betroffen
Betroffen sind die gängigen Linux-Distributionen, wie SuSE, Red Hat, Mandrake, Caldera und Debian.
Wegen der weiten Verbreitung hatten sich die Beteiligten auf ein gemeinsames Release Datum von Patches geeinigt.
Der 3. Dezember war vorgesehen. Red Hat hat aber nach Angaben von SecurityFocus bereits am 27. November Details zu der Lücke publik gemacht.
Patches finden sich bei WU-FTPD.org
Installationen mit wu-ftpd 2.5.0, 2.6.0, 2.6.1 und auch ftpd-BSD
0.3.2 und 0.3.3 öffnen die Lücke. Patches finden sich bei
WU-FTPD.org für die aktuelle Version 2.6.1. Benutzern anderer
Versionen wird ein Update und anschließendes Einspielen der Patches
empfohlen.
WU-FTPD.org