Abo
  • Services:
Anzeige
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Codeausführung: FTP-Client-Lücke in BSDs, Mac OS X und Linux-Distributionen

Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Eine Sicherheitslücke in dem FTP-Client von NetBSD erlaubt mit einem angepassten Server das Ausführen von Code auf dem Rechner. Betroffen davon sind wohl verschiedene BSD-Derivate, Mac OS X sowie Linux-Distributionen. Ein Patch steht bereit.

Anzeige

Die NetBSD-Entwickler haben eine Sicherheitslücke in ihrem FTP-Client gefunden, die es erlaubt, Code auf dem Rechner des Anwenders auszuführen. Dazu muss das Programm ohne die Angabe einer Ausgabedatei ausgeführt werden, um eine Datei über eine HTTP-Verbindung herunterzuladen. Die Lücke hat die CVD-ID 2014-8517 bekommen, deren Inhalt allerdings derzeit noch nicht bei Mitre gelistet ist.

Der FTP-Client folgt HTTP-Redirects und untersucht bei der beschriebenen Vorgehensweise den Teil einer URL nach dem letzten /-Zeichen, um diesen zu dem gewünschten Dateinamen aufzulösen. Beginnt dieser so erhaltene Name allerdings mit einem |-Zeichen wird die nachfolgende Zeichenkette an popen weitergegeben, sodass vorbereitete Befehle ausgeführt werden. In einem Beispiel demonstrieren die Entwickler dies mit dem Befehl uname -a, das unter anderem Details zum benutzten Betriebssystem und Kernel ausgibt. Das OpenBSD-Projekt hat ein derartiges Verhalten eigenen Aussagen zufolge bereits vor einiger Zeit unterbunden.

Eine Portierung der betroffenen Anwendung, die Tnftp heißt, wird in vielen verschiedenen BSD-Derivaten, etwa FreeBSD oder auch in Apples Mac OS X verwendet. Die NetBSD-Entwickler schreiben, sie hätten das Unternehmen über die Lücke informiert, die zumindest in der aktuellen Version 10.10 alias Yosemite bestehe. Darüber hinaus setzen viele Linux-Distributionen Tnftp ebenfalls ein oder bieten ihren Anwendern dieses als Paket an. Diese schätzen den Grad der Bedrohung durch den Fehler jedoch sehr unterschiedlich ein.

So stuft das Debian-Projekt die Lücke als kleineres Problem mit geringer Dringlichkeit ein, Red Hat hingegen hält die Lücke für moderat und Suse gar für bedeutend. Das NetBSD-Team hat den Fehler bereits behoben und stellt einen Patch für den Quellcode bereit.


eye home zur Startseite
BRDiger 30. Okt 2014

Kein Ding ;)

tbxi 30. Okt 2014

Jaaajaa, genau wie wget und curl.

bstea 29. Okt 2014

Das Binary heißt ftp, das Projekt heißt tnftp. In der Regel sieht man das bei Skripten...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Kirchheim unter Teck
  2. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Zweckverband Kommunale Informationsverarbeitung Baden-Franken, Karlsruhe, Freiburg


Anzeige
Hardware-Angebote
  1. und 19 % Cashback bekommen
  2. 17,99€ statt 29,99€
  3. beim Kauf einer GeForce GTX 1070 und GTX 108

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Ganz schön armseelig Telekom

    TodesBrote | 21:12

  2. Re: EWE ist ganz übel

    rocketfoxx | 21:08

  3. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 21:03

  4. Re: Der Hit ist doch aber der Nachtrag

    Danse Macabre | 20:57

  5. Re: mit Linux...

    Danse Macabre | 20:54


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel