Abo
  • Services:

Vsftpd

Mit einem Smiley zur Shell

Über eine Sicherheitslücke im FTP-Server Vsftpd erhalten Benutzer Zugriff auf eine Shell. Die Hintertür wurde in den Quellcode von Vsftpd 2.3.4 eingeschleust. Der Benutzername für die Hintertür ist ein Smiley.

Artikel veröffentlicht am ,
Vsftpd: Mit einem Smiley zur Shell
(Bild: Golem.de)

Der Quellcode von Vsftpd 2.3.4 (Very Secure File Transfer Protokol Daemon) enthält eine Hintertür, über die Angreifer einen Shell-Zugang erhalten, wenn als Benutzername ein Smiley eingegeben wird. Der Entwickler Mathias Kresin entdeckte die Hintertür, nachdem er bemerkte, dass die GPG-Signatur von Vsftpd-Entwickler Chris Evans durch die Manipulation ungültig geworden war.

Stellenmarkt
  1. Bosch Gruppe, Schwieberdingen
  2. Bosch Gruppe, Wernau (Neckar)

Die Hintertür sei jedoch merkwürdig, schreibt Evans. Einmal installiert, scheine sie keinerlei Bestätigung zu senden. So bleibe unklar, wie ein Angreifer kompromittierte Rechner ausfindig machen könne. Er gehe davon aus, dass sich jemand einen Scherz erlauben wollte, statt ernsthaft über die Lücke Angriffe zu starten.

Vsftpd ist allerdings der Standard-FTP-Server unter Ubuntu, CentOS, Fedora sowie Red Hat und anderen. Ob es der Schadcode in die offiziellen Pakete der Distributionen geschafft hat, bleibt fraglich. Vsftpd 2.3.4 ist seit Februar 2011 verfügbar. Das Archiv wurde vermutlich zwischen dem 30. Juni und dem 1. Juli 2011 verändert. Der Angriff blieb etwa zwei bis dreieinhalb Tage unentdeckt.

Als Vorsichtsmaßnahme haben die Entwickler den Code auf security.appspot.com verschoben, eine Seite, die von einer Google App Engine gehostet wird.



Anzeige
Hardware-Angebote
  1. 216,50€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 119,90€

elgooG 06. Jul 2011

()


Folgen Sie uns
       


Resident Evil 2 Remake - Fazit

Bei Capcom haben sie derzeit in Sachen Horror ein monstermäßig gutes Händchen.

Resident Evil 2 Remake - Fazit Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
    Mac Mini mit eGPU im Test
    Externe Grafik macht den Mini zum Pro

    Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
    Ein Test von Marc Sauter

    1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
    2. Apple Mac Mini wird grau und schnell
    3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

      •  /