Abo
  • IT-Karriere:

Sicherheit

Fehler in Gnu Libc legt FTP-Server lahm

Angreifer können über einen Fehler in der Funktion Glob() in der C-Bibliothek Gnu Libc aus der Ferne FTP-Server lahmlegen. Der Fehler führt bei der Verarbeitung bestimmter Wildcard-Muster unter Umständen dazu, dass sich der Hauptspeicher unkontrolliert füllt und damit den Server verlangsamt oder abstürzen lässt.

Artikel veröffentlicht am , Alexander Syska

Die meisten FTP-Server unterstützen Globbing, etwa beim Suchbefehl Stat. Globbing bezeichnet das Suchen mit Platzhaltern, was dazu dient, beispielsweise nach allen Dateien mit der Endung .txt zu fahnden. Normalerweise begrenzt die Funktion GLOB_LIMIT den dafür zugewiesenen Speicher. Die Funktion greift jedoch nicht, wenn der Angreifer mehrere Verzeichnisse über Platzhalter angibt und nach einer nicht existierenden Datei sucht. Durch die manipulierte Suchanfrage kann der Hauptspeicher des Servers volllaufen und den Server schließlich zum Absturz bringen. FTP-Server, die anonyme Zugänge bieten, sind besonders gefährdet. Auch SFTP-Zugänge sind von dem Problem betroffen.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, Meckenheim, München
  2. Hays AG, Bonn

Einige FTP-Programme bieten selbst die Option, das Globbing ein- oder auszuschalten. Die meisten jedoch greifen auf die Funktion über die Systembibliothek Gnu Libc zu, die entsprechend gepatcht werden muss.

Der Entdecker der DoS-Schwachstelle, Maksymilian Arciemowicz, gibt in seinem Dokument an, dass OpenBSD, NetBSD, FreeBSD, Oracle Sun Solaris 10 und die GNU Libc die Schwachstelle enthalten. Betroffen sind demnach auch die FTP-Server von Adobe, HP und Sun. Oracle hat die betroffene Solaris-Version mittlerweile repariert. Für OpenBSD und NetBSD liegen ebenfalls Patches bereit. Von anderen Distributionen, etwa Linux, gibt es noch keine Hinweise dazu, ob sie betroffen sind oder ob Patches bereitstehen.

Arciemowicz hatte die Schwachstelle bereits im November 2009 entdeckt, veröffentlichte sie aber erst jetzt - samt Exploit zu Demonstrationszwecken.



Anzeige
Hardware-Angebote
  1. 289€
  2. 469€
  3. (reduzierte Überstände, Restposten & Co.)

Der Shell-User 09. Okt 2010

Ich benutze das ganz gerne in der Shell, wenn ich weiss, dass eine bestimmte Datei...


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

    •  /