• IT-Karriere:
  • Services:

Sicherheit

Fehler in Gnu Libc legt FTP-Server lahm

Angreifer können über einen Fehler in der Funktion Glob() in der C-Bibliothek Gnu Libc aus der Ferne FTP-Server lahmlegen. Der Fehler führt bei der Verarbeitung bestimmter Wildcard-Muster unter Umständen dazu, dass sich der Hauptspeicher unkontrolliert füllt und damit den Server verlangsamt oder abstürzen lässt.

Artikel veröffentlicht am , Alexander Syska

Die meisten FTP-Server unterstützen Globbing, etwa beim Suchbefehl Stat. Globbing bezeichnet das Suchen mit Platzhaltern, was dazu dient, beispielsweise nach allen Dateien mit der Endung .txt zu fahnden. Normalerweise begrenzt die Funktion GLOB_LIMIT den dafür zugewiesenen Speicher. Die Funktion greift jedoch nicht, wenn der Angreifer mehrere Verzeichnisse über Platzhalter angibt und nach einer nicht existierenden Datei sucht. Durch die manipulierte Suchanfrage kann der Hauptspeicher des Servers volllaufen und den Server schließlich zum Absturz bringen. FTP-Server, die anonyme Zugänge bieten, sind besonders gefährdet. Auch SFTP-Zugänge sind von dem Problem betroffen.

Stellenmarkt
  1. Lidl Digital, Berlin
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB-AST, Ilmenau

Einige FTP-Programme bieten selbst die Option, das Globbing ein- oder auszuschalten. Die meisten jedoch greifen auf die Funktion über die Systembibliothek Gnu Libc zu, die entsprechend gepatcht werden muss.

Der Entdecker der DoS-Schwachstelle, Maksymilian Arciemowicz, gibt in seinem Dokument an, dass OpenBSD, NetBSD, FreeBSD, Oracle Sun Solaris 10 und die GNU Libc die Schwachstelle enthalten. Betroffen sind demnach auch die FTP-Server von Adobe, HP und Sun. Oracle hat die betroffene Solaris-Version mittlerweile repariert. Für OpenBSD und NetBSD liegen ebenfalls Patches bereit. Von anderen Distributionen, etwa Linux, gibt es noch keine Hinweise dazu, ob sie betroffen sind oder ob Patches bereitstehen.

Arciemowicz hatte die Schwachstelle bereits im November 2009 entdeckt, veröffentlichte sie aber erst jetzt - samt Exploit zu Demonstrationszwecken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 21,99€
  2. gratis
  3. 18,69€

Der Shell-User 09. Okt 2010

Ich benutze das ganz gerne in der Shell, wenn ich weiss, dass eine bestimmte Datei...


Folgen Sie uns
       


SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

    •  /