Vsftpd

Mit einem Smiley zur Shell

Über eine Sicherheitslücke im FTP-Server Vsftpd erhalten Benutzer Zugriff auf eine Shell. Die Hintertür wurde in den Quellcode von Vsftpd 2.3.4 eingeschleust. Der Benutzername für die Hintertür ist ein Smiley.

Artikel veröffentlicht am ,
Vsftpd: Mit einem Smiley zur Shell
(Bild: Golem.de)

Der Quellcode von Vsftpd 2.3.4 (Very Secure File Transfer Protokol Daemon) enthält eine Hintertür, über die Angreifer einen Shell-Zugang erhalten, wenn als Benutzername ein Smiley eingegeben wird. Der Entwickler Mathias Kresin entdeckte die Hintertür, nachdem er bemerkte, dass die GPG-Signatur von Vsftpd-Entwickler Chris Evans durch die Manipulation ungültig geworden war.

Stellenmarkt
  1. IT Projekt- und Prozessmanager (w/m/d)
    AIXTRON SE, Herzogenrath
  2. Head (m/w/d) of Managed Service/on Premise Solutions Automotive
    operational services GmbH & Co. KG, verschiedene Standorte
Detailsuche

Die Hintertür sei jedoch merkwürdig, schreibt Evans. Einmal installiert, scheine sie keinerlei Bestätigung zu senden. So bleibe unklar, wie ein Angreifer kompromittierte Rechner ausfindig machen könne. Er gehe davon aus, dass sich jemand einen Scherz erlauben wollte, statt ernsthaft über die Lücke Angriffe zu starten.

Vsftpd ist allerdings der Standard-FTP-Server unter Ubuntu, CentOS, Fedora sowie Red Hat und anderen. Ob es der Schadcode in die offiziellen Pakete der Distributionen geschafft hat, bleibt fraglich. Vsftpd 2.3.4 ist seit Februar 2011 verfügbar. Das Archiv wurde vermutlich zwischen dem 30. Juni und dem 1. Juli 2011 verändert. Der Angriff blieb etwa zwei bis dreieinhalb Tage unentdeckt.

Als Vorsichtsmaßnahme haben die Entwickler den Code auf security.appspot.com verschoben, eine Seite, die von einer Google App Engine gehostet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
iPhone-Bildschirm
iOS 16 mit abermals veränderter Akkuanzeige

Apple hat teilweise auf die Kritik an der Akkuanzeige in iOS 16 reagiert. In der Beta 6 gibt es mehr Einstellmöglichkeiten im Energiesparmodus.

iPhone-Bildschirm: iOS 16 mit abermals veränderter Akkuanzeige
Artikel
  1. Chiptune in Echtzeit: Der Game Boy ist das neue Vinyl
    Chiptune in Echtzeit
    Der Game Boy ist das neue Vinyl

    MP3s aufnehmen kann jeder. Bastelfreudige Musiker veröffentlichen ihre Alben lieber auf Game-Boy- und Super-Nintendo-Modulen.
    Ein Bericht von Daniel Ziegener

  2. Private Division: Weta Workshop entwickelt neues Mittelerde-Spiel
    Private Division
    Weta Workshop entwickelt neues Mittelerde-Spiel

    Angesiedelt in J.R.R. Tolkiens Welt der Hobbits und Zwerge, basierend auf den Büchern: Weta arbeitet an einem Titel für übernächstes Jahr.

  3. Internet: Indien verbannt den VLC Media Player
    Internet
    Indien verbannt den VLC Media Player

    Weder Downloadlink noch Webseite des VLC Media Players können von Indien aus aufgerufen werden. Der vermutete Grund: das Nachbarland China.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€. WD SSD 2TB (PS5) 199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Alternate (Apple iPad günstiger) • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /