Abo
  • Services:
Anzeige
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Codeausführung: FTP-Client-Lücke in BSDs, Mac OS X und Linux-Distributionen

Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit.
Für die Lücke in dem FTP-Client Tnftp steht inzwischen ein Patch bereit. (Bild: Tnftp - Screenshot: Golem.de)

Eine Sicherheitslücke in dem FTP-Client von NetBSD erlaubt mit einem angepassten Server das Ausführen von Code auf dem Rechner. Betroffen davon sind wohl verschiedene BSD-Derivate, Mac OS X sowie Linux-Distributionen. Ein Patch steht bereit.

Anzeige

Die NetBSD-Entwickler haben eine Sicherheitslücke in ihrem FTP-Client gefunden, die es erlaubt, Code auf dem Rechner des Anwenders auszuführen. Dazu muss das Programm ohne die Angabe einer Ausgabedatei ausgeführt werden, um eine Datei über eine HTTP-Verbindung herunterzuladen. Die Lücke hat die CVD-ID 2014-8517 bekommen, deren Inhalt allerdings derzeit noch nicht bei Mitre gelistet ist.

Der FTP-Client folgt HTTP-Redirects und untersucht bei der beschriebenen Vorgehensweise den Teil einer URL nach dem letzten /-Zeichen, um diesen zu dem gewünschten Dateinamen aufzulösen. Beginnt dieser so erhaltene Name allerdings mit einem |-Zeichen wird die nachfolgende Zeichenkette an popen weitergegeben, sodass vorbereitete Befehle ausgeführt werden. In einem Beispiel demonstrieren die Entwickler dies mit dem Befehl uname -a, das unter anderem Details zum benutzten Betriebssystem und Kernel ausgibt. Das OpenBSD-Projekt hat ein derartiges Verhalten eigenen Aussagen zufolge bereits vor einiger Zeit unterbunden.

Eine Portierung der betroffenen Anwendung, die Tnftp heißt, wird in vielen verschiedenen BSD-Derivaten, etwa FreeBSD oder auch in Apples Mac OS X verwendet. Die NetBSD-Entwickler schreiben, sie hätten das Unternehmen über die Lücke informiert, die zumindest in der aktuellen Version 10.10 alias Yosemite bestehe. Darüber hinaus setzen viele Linux-Distributionen Tnftp ebenfalls ein oder bieten ihren Anwendern dieses als Paket an. Diese schätzen den Grad der Bedrohung durch den Fehler jedoch sehr unterschiedlich ein.

So stuft das Debian-Projekt die Lücke als kleineres Problem mit geringer Dringlichkeit ein, Red Hat hingegen hält die Lücke für moderat und Suse gar für bedeutend. Das NetBSD-Team hat den Fehler bereits behoben und stellt einen Patch für den Quellcode bereit.


eye home zur Startseite
BRDiger 30. Okt 2014

Kein Ding ;)

tbxi 30. Okt 2014

Jaaajaa, genau wie wget und curl.

bstea 29. Okt 2014

Das Binary heißt ftp, das Projekt heißt tnftp. In der Regel sieht man das bei Skripten...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. WKM GmbH, München
  3. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  4. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. 1.029,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  2. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  3. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  4. FTP-Client

    Filezilla bekommt ein Master Password

  5. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  6. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  7. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  8. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  9. Rockstar Games

    Waffenschiebereien in GTA 5

  10. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Performance ist mies

    Haxx | 10:37

  2. Re: Volumenbegrenzungen abschaffen

    Tet | 10:35

  3. Re: Siri und diktieren

    rabatz | 10:24

  4. Re: Mal ne dumme Gegenfrage:

    Apfelbrot | 10:13

  5. Re: Was habe ich von Netzneutralität als Kunde?

    sundown73 | 10:11


  1. 10:35

  2. 12:54

  3. 12:41

  4. 11:44

  5. 11:10

  6. 09:01

  7. 17:40

  8. 16:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel