Vsftpd: Mit einem Smiley zur Shell

Über eine Sicherheitslücke im FTP-Server Vsftpd erhalten Benutzer Zugriff auf eine Shell. Die Hintertür wurde in den Quellcode von Vsftpd 2.3.4 eingeschleust. Der Benutzername für die Hintertür ist ein Smiley.

5. Juli 2011 um 17:49 Uhr / Jörg Thoma

10 Kommentare News folgen (öffnet im neuen Fenster)

Der Quellcode von Vsftpd 2.3.4 (Very Secure File Transfer Protokol Daemon) enthält eine Hintertür, über die Angreifer einen Shell-Zugang erhalten, wenn als Benutzername ein Smiley eingegeben wird. Der Entwickler Mathias Kresin entdeckte die Hintertür(öffnet im neuen Fenster) , nachdem er bemerkte, dass die GPG-Signatur von Vsftpd-Entwickler Chris Evans durch die Manipulation ungültig geworden war.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Network Engineer (m/w/d) medatixx GmbH & Co. KG, Bamberg (öffnet im neuen Fenster)

Network Infrastructure Specialist - Cisco Nexus and Automation (w/m/d) Hensoldt, Taufkirchen,Immenstaad,Ulm (öffnet im neuen Fenster)

IT Security Analyst (mwd) - Schwerpunkt Koordination net-select GmbH, Pforzheim (öffnet im neuen Fenster)

Systemadministrator Citrix VAD (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)

DevOps Engineer / Administrator (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)

Trainee (m/w/d) Electronic Banking Kreissparkasse Walsrode, Walsrode (öffnet im neuen Fenster)

Assistenz (m/w/d) in der Abteilung Unfallprävention: Digitalisierung - Technologien Deutsche Gesetzliche Unfallversicherung e.V., Sankt Augustin (öffnet im neuen Fenster)

Die Hintertür sei jedoch merkwürdig, schreibt Evans. Einmal installiert, scheine sie keinerlei Bestätigung zu senden. So bleibe unklar, wie ein Angreifer kompromittierte Rechner ausfindig machen könne. Er gehe davon aus, dass sich jemand einen Scherz erlauben wollte, statt ernsthaft über die Lücke Angriffe zu starten.

Vsftpd ist allerdings der Standard-FTP-Server unter Ubuntu, CentOS, Fedora sowie Red Hat und anderen. Ob es der Schadcode in die offiziellen Pakete der Distributionen geschafft hat, bleibt fraglich. Vsftpd 2.3.4 ist seit Februar 2011 verfügbar. Das Archiv wurde vermutlich zwischen dem 30. Juni und dem 1. Juli 2011 verändert. Der Angriff blieb etwa zwei bis dreieinhalb Tage unentdeckt.

Als Vorsichtsmaßnahme haben die Entwickler den Code auf security.appspot.com(öffnet im neuen Fenster) verschoben, eine Seite, die von einer Google App Engine gehostet wird.

Zur Startseite 10 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen