Original-URL des Artikels: https://www.golem.de/1111/87693.html    Veröffentlicht: 11.11.2011 10:25    Kurz-URL: https://glm.io/87693

FTP-Server

ProFTPD 1.3.4 schließt kritische Sicherheitslücke

Das ProFTPD-Team hat mit der Veröffentlichung der Versionen 1.3.4 und 1.3.3g eine kritische Sicherheitslücke geschlossen, über die ein Angreifer Code in den betroffenen Server einschleusen konnte.

In den aktuellen ProFTPD-Versionen 1.3.3g und 1.3.4 haben die Entwickler eine kritische Sicherheitslücke geschlossen. Sie kann dazu genutzt werden, Code über das Netz in den Speicher eines betroffenen Servers einzuschleusen und dort auszuführen. ProFTPD 1.3.3g ist gleichzeitig die letzte Version der 1.1.3er-Reihe.

ProFTPD 1.3.4 und 1.3.3g erhalten zugleich die neue TLS-Option NoEmptyFragments, die verhindern soll, dass Man-in-the-Middle-Angriffe genutzt werden können, um Daten, die über SSL 3.0 und TLS 1.0 verschickt werden, zu entschlüsseln. Da nicht alle Clients NoEmptyFragments unterstützen, bleibt die Einstellung optional.

ProFTPD 1.3.4 erhält zusätzlich eine neue Funktionen, darunter das Modul "mod_tls_memcache", mit dem Informationen aus SSL-Sitzungen zwischengespeichert werden können. Mit "SQLNamedConnectInfo" kann ProFTPD Verbindung zu verschiedenen SQL-Datenbanken gleichzeitig herstellen, etwa wenn von einer Benutzerinformationen ausgelesen werden und in einer anderen Verbindungen protokolliert werden.

Sämtliche Änderungen in ProFTPD 1.3.3g und 1.3.4 haben die Entwickler in entsprechenden Changelog-Dateien zusammengefasst. Der Quellcode der aktuellen Versionen ist auf Spiegelservern erhältlich.  (jt)


Verwandte Artikel:
Proftpd: Version 1.3.3d schließt Sicherheitslücke   
(20.12.2010, https://glm.io/80244 )
Altes Protokoll: Debian-Projekt stellt FTP-Server ein   
(26.04.2017, https://glm.io/127506 )
Unsicher: Kernel.org verabschiedet sich von FTP   
(30.01.2017, https://glm.io/125886 )
Vsftpd: Mit einem Smiley zur Shell   
(05.07.2011, https://glm.io/84723 )
Proftpd: Hacker schleusen Malware in Quellcode   
(02.12.2010, https://glm.io/79844 )

© 1997–2018 Golem.de, https://www.golem.de/