Abo
  • Services:
Anzeige
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Codeausführung: FTP-Client-Lücke in BSDs, Mac OS X und Linux-Distributionen

Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Eine Sicherheitslücke in dem FTP-Client von NetBSD erlaubt mit einem angepassten Server das Ausführen von Code auf dem Rechner. Betroffen davon sind wohl verschiedene BSD-Derivate, Mac OS X sowie Linux-Distributionen. Ein Patch steht bereit.

Anzeige

Die NetBSD-Entwickler haben eine Sicherheitslücke in ihrem FTP-Client gefunden, die es erlaubt, Code auf dem Rechner des Anwenders auszuführen. Dazu muss das Programm ohne die Angabe einer Ausgabedatei ausgeführt werden, um eine Datei über eine HTTP-Verbindung herunterzuladen. Die Lücke hat die CVD-ID 2014-8517 bekommen, deren Inhalt allerdings derzeit noch nicht bei Mitre gelistet ist.

Der FTP-Client folgt HTTP-Redirects und untersucht bei der beschriebenen Vorgehensweise den Teil einer URL nach dem letzten /-Zeichen, um diesen zu dem gewünschten Dateinamen aufzulösen. Beginnt dieser so erhaltene Name allerdings mit einem |-Zeichen wird die nachfolgende Zeichenkette an popen weitergegeben, sodass vorbereitete Befehle ausgeführt werden. In einem Beispiel demonstrieren die Entwickler dies mit dem Befehl uname -a, das unter anderem Details zum benutzten Betriebssystem und Kernel ausgibt. Das OpenBSD-Projekt hat ein derartiges Verhalten eigenen Aussagen zufolge bereits vor einiger Zeit unterbunden.

Eine Portierung der betroffenen Anwendung, die Tnftp heißt, wird in vielen verschiedenen BSD-Derivaten, etwa FreeBSD oder auch in Apples Mac OS X verwendet. Die NetBSD-Entwickler schreiben, sie hätten das Unternehmen über die Lücke informiert, die zumindest in der aktuellen Version 10.10 alias Yosemite bestehe. Darüber hinaus setzen viele Linux-Distributionen Tnftp ebenfalls ein oder bieten ihren Anwendern dieses als Paket an. Diese schätzen den Grad der Bedrohung durch den Fehler jedoch sehr unterschiedlich ein.

So stuft das Debian-Projekt die Lücke als kleineres Problem mit geringer Dringlichkeit ein, Red Hat hingegen hält die Lücke für moderat und Suse gar für bedeutend. Das NetBSD-Team hat den Fehler bereits behoben und stellt einen Patch für den Quellcode bereit.


eye home zur Startseite
BRDiger 30. Okt 2014

Kein Ding ;)

tbxi 30. Okt 2014

Jaaajaa, genau wie wget und curl.

bstea 29. Okt 2014

Das Binary heißt ftp, das Projekt heißt tnftp. In der Regel sieht man das bei Skripten...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. via Nash Direct GmbH, München
  3. Bosch Service Solutions Magdeburg GmbH, Berlin
  4. Uvex Winter Holding GmbH & Co. KG, Fürth


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung bei Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Was hat das mit "Die PARTEI" zui tun?

    Jad | 19:26

  2. Re: internationale steuerung von industrieanlagen...

    johnripper | 19:21

  3. Re: Habe es immer noch nicht ganz verstanden

    sneaker | 19:15

  4. Re: Unsinnige Diskussion um CO2

    gutenmorgen123 | 19:13

  5. Re: 53% ? Der Wert ist so ziemlich sinnfrei.

    jacki | 19:06


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel