Kritische Sicherheitslücke in ProFTPD

Eleven · 30. November 2010

Vielen Dank an das Netcup-Team für die Rundmail!

Ich habe zwar kein ProFTPD laufen, aber andere Hoster würden ihre Kunden nicht über mögliche Gefahren informieren. TOP!

holzratte · 30. November 2010

hehe, das war bei mir aber jetzt auch ein dicker schreck. war über die lücke informiert und habe proftpd schon vor wochen gestoppt da ich ftp eh so gut wie nie nutze, dachte aber jetz ich hätte evtl doch irgendwas versaubeutelt
so ists nun eine schöne bestätigung das ich anscheinend (diesmal wenigstens) ohnehin auf dem laufenden war

aber eure meinung zum thema updates würde mich mal interessieren: soweit ich weiß gibt es zwischen den distributionen ja schon unterschiede bei der aktualität der paketsourcen. welche gilt denn so als am aktuellsten? gibt es irgendeine die da besonders hervorsticht?

ratte

PS: netcup: eventuell solltet ihr in solchen emails (die ich grundsätzlich begrüße) SEHR deutlich machen das diese mails an alle kunden gehen, und es sich nicht um eine kunden- oder auch nur node-spezifische mail handelt. insbesondere die deutliche nennung des vservernamens am anfang wirkt alarmierend...

chitypo · 30. November 2010

ich finds super wie es ist,

so werden einige wenigstens etwas wach.:)

ramstein · 1. Dezember 2010

Zitat von chitypo;27846

so werden einige wenigstens etwas wach.:)

Na sieh mal einer an ..... da glaubt noch wer an den Weihnachtsmann

koweto · 1. Dezember 2010

Zitat von [netcup] Felix;27800

Sollten wir jemanden unnötig einen Schrecken eingejagt haben, bitte ich hierfür um Entschuldigung. Das war nicht unsere Absicht.

Zitat von chitypo;27846

ich finds super wie es ist,

so werden einige wenigstens etwas wach.:)

Seh ich auch so. Hin und wieder mal ein kleiner Wachrüttler kann nicht schaden.

Einen Schreck habe ich bei der Mail nicht bekommen, weil ich auf keinem meiner Server einen FTP-Dienst laufen habe und somit nicht direkt betroffen sein kann.

vmk · 1. Dezember 2010

Zitat von koweto;27860

Einen Schreck habe ich bei der Mail nicht bekommen, weil ich auf keinem meiner Server einen FTP-Dienst laufen habe und somit nicht direkt betroffen sein kann.

Wie kannst du sicher sein, dass niemand dort einen Dienst installiert hat?

Eleven · 2. Dezember 2010

ACHTUNG: Backdoor in FTP-Server ProFTPD

Zitat

Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. ...

Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. ...

http://www.heise.de/security/m…rver-ProFTPD-1146211.html

Zitat

ProFTPD Compromised Source Packages Backdoor Security Issue

Criticality level: Highly critical

The security issue is caused due to the distribution of compromised ProFTPD 1.3.3c source code packages via the project's main FTP server and all of the mirror servers, which contain a backdoor allowing remote root access.

http://secunia.com/advisories/42449

Proyx · 2. Dezember 2010

War seit gestern "offiziell" bekannt

Hier die betroffenen Files:

Code

The MD5 sums for the source tarballs are:




 8571bd78874b557e98480ed48e2df1d2  proftpd-1.3.3c.tar.bz2
 4f2c554d6273b8145095837913ba9e5d  proftpd-1.3.3c.tar.gz




The PGP signatures for the source tarballs are:




 proftpd-1.3.3c.tar.bz2:




   -----BEGIN PGP SIGNATURE-----
   Version: GnuPG v1.4.9 (GNU/Linux)




   iEYEABECAAYFAkzLAWYACgkQt46JP6URl2qu3QCcDGXD+fRPOdKMp8fHyHI5d12E
   83gAoPHBrjTFCz4MKYLhH8qqxmGslR2k
   =aLli
   -----END PGP SIGNATURE-----




 proftpd-1.3.3c.tar.gz:




   -----BEGIN PGP SIGNATURE-----
   Version: GnuPG v1.4.9 (GNU/Linux)




   iEYEABECAAYFAkzLAW0ACgkQt46JP6URl2ojfQCfXy/hWE8G5mhdhdLpaPUZsofK
   pO8Anj+uP0hQcn1E/CEUddI0mezlSCmg
   =e8el
   -----END PGP SIGNATURE-----




The PGP key of TJ Saunders has been used to sign the source tarballs;
it is available via MIT's public keyserver.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)




iEYEARECAAYFAkz23FwACgkQt46JP6URl2pQ3QCfTWAZ8ZTGvruPD1pRJUpLM3gw
hUsAoLI4YnmXVgUIVhU2vFWD1rOYffEY
=3m3x
-----END PGP SIGNATURE-----

Alles anzeigen

thomasw · 2. Dezember 2010

Mal angenommen, ich hätte aus bestimmten Gründen Version 1.3.2-3 installiert. Beispielsweise aufgrund dieses Bugs: https://bugs.launchpad.net/ubu…/proftpd-dfsg/+bug/580512

Dann könnte ich betroffen sein
> Der Fehler existiert erst seid ProFTPd 1.3.2rc3.
> Also ist die aktuelle 1.3.1-17lenny4 in Lenny nicht davon betroffen.
oder auch nicht
> Hier die betroffenen Files:
> 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
> 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

Wenn die Eingabe von HELP ACIDBITCHEZ folgendes ausgibt:
> Befehl: HELP ACIDBITCHEZ
> Antwort: 502 Unknown command 'ACIDBITCHEZ'
bin ich dann sicher? Falls nicht: mit welchen Schritten würde ich sonst feststellen können, ob ich tatsächlich betroffen bin?

Danke.

Proyx · 2. Dezember 2010

Hier sind von 2 verschiedenen Sicherheitslücken die Rede 1. hat eine Lücke
2.Sind infizierte Files vom proftpd Server siehe ---->

Zitat

Hier die betroffenen Files:
> 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
> 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

perryflynn · 3. Dezember 2010

Und wieder sind die Standardpakete von Lenny nicht betroffen.
Die sind schon mehrere Monate alt.

Talion · 4. Dezember 2010

Zitat von thomasw;27931

Wenn die Eingabe von HELP ACIDBITCHEZ folgendes ausgibt:
> Befehl: HELP ACIDBITCHEZ
> Antwort: 502 Unknown command 'ACIDBITCHEZ'
bin ich dann sicher? Falls nicht: mit welchen Schritten würde ich sonst feststellen können, ob ich tatsächlich betroffen bin? .

http://pastebin.ca/2008461
So siehts bei einem kompromittierten Server aus.