FTP-Server: ProFTPD 1.3.4 schließt kritische Sicherheitslücke
In den aktuellen ProFTPD-Versionen(öffnet im neuen Fenster) 1.3.3g und 1.3.4 haben die Entwickler eine kritische Sicherheitslücke(öffnet im neuen Fenster) geschlossen. Sie kann dazu genutzt werden, Code über das Netz in den Speicher eines betroffenen Servers einzuschleusen und dort auszuführen. ProFTPD 1.3.3g ist gleichzeitig die letzte Version der 1.1.3er-Reihe.
ProFTPD 1.3.4 und 1.3.3g erhalten zugleich die neue TLS-Option NoEmptyFragments , die verhindern soll, dass Man-in-the-Middle-Angriffe(öffnet im neuen Fenster) genutzt werden können, um Daten, die über SSL 3.0 und TLS 1.0 verschickt werden, zu entschlüsseln. Da nicht alle Clients NoEmptyFragments unterstützen, bleibt die Einstellung optional.
ProFTPD 1.3.4 erhält zusätzlich eine neue Funktionen, darunter das Modul "mod_tls_memcache" , mit dem Informationen aus SSL-Sitzungen zwischengespeichert werden können. Mit "SQLNamedConnectInfo" kann ProFTPD Verbindung zu verschiedenen SQL-Datenbanken gleichzeitig herstellen, etwa wenn von einer Benutzerinformationen ausgelesen werden und in einer anderen Verbindungen protokolliert werden.
Sämtliche Änderungen in ProFTPD 1.3.3g(öffnet im neuen Fenster) und 1.3.4(öffnet im neuen Fenster) haben die Entwickler in entsprechenden Changelog-Dateien zusammengefasst. Der Quellcode der aktuellen Versionen ist auf Spiegelservern erhältlich(öffnet im neuen Fenster) .