Kritische Sicherheitslücke in ProFTPD

  • Vielen Dank an das Netcup-Team für die Rundmail! :)


    Ich habe zwar kein ProFTPD laufen, aber andere Hoster würden ihre Kunden nicht über mögliche Gefahren informieren. TOP!

    Viele Grüße, Eleven


    # vServer 3072 (Debian Lenny, Nginx, PHP5-CGI, XCache, MySQL, Munin, Dovecot, Postfix)
    # vServer GOLD (Debian Lenny, Nginx, Munin, Dovecot, Postfix)

  • hehe, das war bei mir aber jetzt auch ein dicker schreck. war über die lücke informiert und habe proftpd schon vor wochen gestoppt da ich ftp eh so gut wie nie nutze, dachte aber jetz ich hätte evtl doch irgendwas versaubeutelt ;)
    so ists nun eine schöne bestätigung das ich anscheinend (diesmal wenigstens) ohnehin auf dem laufenden war :D


    aber eure meinung zum thema updates würde mich mal interessieren: soweit ich weiß gibt es zwischen den distributionen ja schon unterschiede bei der aktualität der paketsourcen. welche gilt denn so als am aktuellsten? gibt es irgendeine die da besonders hervorsticht?


    ratte


    PS: netcup: eventuell solltet ihr in solchen emails (die ich grundsätzlich begrüße) SEHR deutlich machen das diese mails an alle kunden gehen, und es sich nicht um eine kunden- oder auch nur node-spezifische mail handelt. insbesondere die deutliche nennung des vservernamens am anfang wirkt alarmierend...

  • Quote from [netcup] Felix;27800

    Sollten wir jemanden unnötig einen Schrecken eingejagt haben, bitte ich hierfür um Entschuldigung. Das war nicht unsere Absicht.


    Quote from chitypo;27846

    ich finds super wie es ist,

    so werden einige wenigstens etwas wach.:)


    Seh ich auch so. Hin und wieder mal ein kleiner Wachrüttler kann nicht schaden. :D


    Einen Schreck habe ich bei der Mail nicht bekommen, weil ich auf keinem meiner Server einen FTP-Dienst laufen habe und somit nicht direkt betroffen sein kann.

  • Quote from koweto;27860

    Einen Schreck habe ich bei der Mail nicht bekommen, weil ich auf keinem meiner Server einen FTP-Dienst laufen habe und somit nicht direkt betroffen sein kann.


    Wie kannst du sicher sein, dass niemand dort einen Dienst installiert hat? ;)

    "Security is like an onion - the more you dig in the more you want to cry"

  • ACHTUNG: Backdoor in FTP-Server ProFTPD


    Quote

    Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. ...


    Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. ...

    http://www.heise.de/security/m…rver-ProFTPD-1146211.html


    Quote

    ProFTPD Compromised Source Packages Backdoor Security Issue


    Criticality level: Highly critical


    The security issue is caused due to the distribution of compromised ProFTPD 1.3.3c source code packages via the project's main FTP server and all of the mirror servers, which contain a backdoor allowing remote root access.


    http://secunia.com/advisories/42449

    Viele Grüße, Eleven


    # vServer 3072 (Debian Lenny, Nginx, PHP5-CGI, XCache, MySQL, Munin, Dovecot, Postfix)
    # vServer GOLD (Debian Lenny, Nginx, Munin, Dovecot, Postfix)

  • War seit gestern "offiziell" bekannt


    Hier die betroffenen Files:

  • Mal angenommen, ich hätte aus bestimmten Gründen Version 1.3.2-3 installiert. Beispielsweise aufgrund dieses Bugs: https://bugs.launchpad.net/ubu…/proftpd-dfsg/+bug/580512


    Dann könnte ich betroffen sein
    > Der Fehler existiert erst seid ProFTPd 1.3.2rc3.
    > Also ist die aktuelle 1.3.1-17lenny4 in Lenny nicht davon betroffen.
    oder auch nicht
    > Hier die betroffenen Files:
    > 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
    > 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz


    Wenn die Eingabe von HELP ACIDBITCHEZ folgendes ausgibt:
    > Befehl: HELP ACIDBITCHEZ
    > Antwort: 502 Unknown command 'ACIDBITCHEZ'
    bin ich dann sicher? Falls nicht: mit welchen Schritten würde ich sonst feststellen können, ob ich tatsächlich betroffen bin?


    Danke.

  • Hier sind von 2 verschiedenen Sicherheitslücken die Rede 1. hat eine Lücke
    2.Sind infizierte Files vom proftpd Server siehe ---->

    Quote

    Hier die betroffenen Files:
    > 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
    > 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

  • Quote from thomasw;27931

    Wenn die Eingabe von HELP ACIDBITCHEZ folgendes ausgibt:
    > Befehl: HELP ACIDBITCHEZ
    > Antwort: 502 Unknown command 'ACIDBITCHEZ'
    bin ich dann sicher? Falls nicht: mit welchen Schritten würde ich sonst feststellen können, ob ich tatsächlich betroffen bin? .


    http://pastebin.ca/2008461
    So siehts bei einem kompromittierten Server aus.