Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 7 reacties
Bron: ISS Security Center, submitter: The MAzTER

Onderzoekers van ISS hebben recentelijk een ernstig lek ontdekt in de populaire FTP-server voor unix-systemen ProFTPD. De ontwikkelaars van ProFTPD hebben daarop alle aangetaste versies, alles boven de 1.2.7, gerepareerd en beschikbaar gesteld voor download. Iedereen wordt aangeraden hun server te upgraden:

X-Force Research at ISS has discovered a remote exploit in ProFTPD's handling of ASCII translations that an attacker, by downloading a carefully crafted file, can exploit and gain a root shell.

The source distributions on ftp.proftpd.org have all been replaced with patched versions. All ProFTPD users are strongly urged to upgrade to one of the patched versions as soon as possible.
Moderatie-faq Wijzig weergave

Reacties (7)

Debian Woody heeft 1.2.4, dus die is veilig, of klopt mijn redenering niet?
die is idd veilig
Affected Versions:

ProFTPD 1.2.7
ProFTPD 1.2.8
ProFTPD 1.2.8rc1
ProFTPD 1.2.8rc2
ProFTPD 1.2.9rc1
ProFTPD 1.2.9rc2
Klopt het als ik hieruit concludeer dat het alleen gevaarlijk is als iemand eerst een file kan uploaden? (Omdat het om een 'specially crafted file' gaat.)
Voor de debianners: sinds proftpd 1.2.8-12 (aanwezig in testing; unstable is al bij -13) is deze exploit al opgelost.

Stable gebruikt nog steeds 1.25rc1 en is immuun voor deze exploit.
Net op onze servers de nieuwe 1.2.9rc2 versie geinstalleerd met de oude config files (1.2.7) deze zijn nog steeds conform de standaard instellingen...

Ik krijg nu een onverklaarbare error dat ik geen files mag overwriten... beetje raar natuurlijk... ProFTPd draait bij ons op GenToo...

[toevoeging]
net gevonden op het proftpd forum.. is een bekende bug in deze versie... er is een patch voor te vinden ook in het proftpd forum...
[/toevoeging]
-overbodig- [niet goed genoeg gelezen]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True