Dringend patchen: Schwachstelle mit maximalem Schweregrad in WS_FTP
Das Softwareunternehmen Progress, das in diesem Jahr durch eine schwerwiegende Sicherheitslücke in der Datentransferanwendung Moveit schon für reichlich Aufsehen sorgte , warnt seine Kunden derzeit erneut vor zwei kritischen Schwachstellen, die sich dieses Mal auf eine FTP-Serveranwendung namens WS_FTP beziehen. Wie das Unternehmen auf seiner Webseite(öffnet im neuen Fenster) erklärt, verlassen sich weltweit Tausende von IT-Teams auf die "sichere Übertragung kritischer Daten" via WS_FTP.
In einer am 27. September veröffentlichten Sicherheitsmitteilung(öffnet im neuen Fenster) wies Progress darauf hin, dass man eine Reihe von Sicherheitslücken in der Anwendung geschlossen habe. Eine davon, registriert als CVE-2023-40044, erreicht mit einem CVSS von 10 den größtmöglichen Schweregrad und erlaubt es Angreifern, über das Ad-Hoc-Transfermodul von WS_FTP auf dem zugrunde liegenden Server aus der Ferne Schadcode auszuführen.
Eine weitere Schwachstelle mit der Kennung CVE-2023-42657 wird mit einem CVSS von 9,9 ebenfalls als kritisch eingestuft. Darüber ist es böswilligen Akteuren laut Progress möglich, verschiedene Dateioperationen an Dateien und Ordnern außerhalb des autorisierten WS_FTP-Ordnerpfads durchzuführen. "Angreifer könnten auch aus dem Kontext der WS_FTP-Serverdateistruktur ausbrechen und die gleichen Operationen (Löschen, Umbenennen, rmdir, mkdir) an Datei- und Ordnerpositionen auf dem zugrunde liegenden Betriebssystem durchführen" , erklärte der Hersteller.
Administratoren sollten dringend patchen
Darüber hinaus listet das Unternehmen noch sechs weitere gepatchte Schwachstellen in der Serveranwendung auf, deren CVSS zwischen 5,3 und 8,3 angegeben wird. Alle genannten Sicherheitslücken wurden laut Progress mit dem jüngsten Update behoben, dessen Installation den zuständigen Administratoren dringend empfohlen wird. Der Anbieter empfiehlt grundsätzlich ein Upgrade auf die aktuellste Version 8.8.2 von WS_FTP, mit Version 8.7.4 sei die Anwendung aber auch geschützt.
In gleichem Zuge wies der Hersteller darauf hin, dass ein Upgrade auf eine gepatchte Version unter Verwendung des vollständigen Installationsprogramms die einzige Möglichkeit darstelle, die Schwachstellen zu beheben. Ferner werde es während des Upgrades der Software vorübergehend zu einem Ausfall des Systems kommen. Eine Dokumentation für das Softwareupgrade(öffnet im neuen Fenster) stellte das Unternehmen ebenfalls bereit.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.