Abo
  • Services:

Vsftpd

Mit einem Smiley zur Shell

Über eine Sicherheitslücke im FTP-Server Vsftpd erhalten Benutzer Zugriff auf eine Shell. Die Hintertür wurde in den Quellcode von Vsftpd 2.3.4 eingeschleust. Der Benutzername für die Hintertür ist ein Smiley.

Artikel veröffentlicht am ,
Vsftpd: Mit einem Smiley zur Shell
(Bild: Golem.de)

Der Quellcode von Vsftpd 2.3.4 (Very Secure File Transfer Protokol Daemon) enthält eine Hintertür, über die Angreifer einen Shell-Zugang erhalten, wenn als Benutzername ein Smiley eingegeben wird. Der Entwickler Mathias Kresin entdeckte die Hintertür, nachdem er bemerkte, dass die GPG-Signatur von Vsftpd-Entwickler Chris Evans durch die Manipulation ungültig geworden war.

Stellenmarkt
  1. infoteam Software AG, Bubenreuth,Dortmund
  2. Bertrandt Ingenieurbüro GmbH, Köln

Die Hintertür sei jedoch merkwürdig, schreibt Evans. Einmal installiert, scheine sie keinerlei Bestätigung zu senden. So bleibe unklar, wie ein Angreifer kompromittierte Rechner ausfindig machen könne. Er gehe davon aus, dass sich jemand einen Scherz erlauben wollte, statt ernsthaft über die Lücke Angriffe zu starten.

Vsftpd ist allerdings der Standard-FTP-Server unter Ubuntu, CentOS, Fedora sowie Red Hat und anderen. Ob es der Schadcode in die offiziellen Pakete der Distributionen geschafft hat, bleibt fraglich. Vsftpd 2.3.4 ist seit Februar 2011 verfügbar. Das Archiv wurde vermutlich zwischen dem 30. Juni und dem 1. Juli 2011 verändert. Der Angriff blieb etwa zwei bis dreieinhalb Tage unentdeckt.

Als Vorsichtsmaßnahme haben die Entwickler den Code auf security.appspot.com verschoben, eine Seite, die von einer Google App Engine gehostet wird.



Anzeige
Hardware-Angebote
  1. bei Alternate kaufen
  2. für 147,99€ statt 259,94€

elgooG 06. Jul 2011

()


Folgen Sie uns
       


Neue OLED-Leuchtmittel angesehen (Light and Building 2018)

Die OLED-Technik macht im Leuchtenbereich Fortschritte.

Neue OLED-Leuchtmittel angesehen (Light and Building 2018) Video aufrufen
Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Verschärfte Regeln für Politwerbung und beliebte Seiten
  2. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  3. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen

    •  /