Kritische Lücke in ProFTPD!

Hat Debian inzwischen einen Fix ?

Ich schreibe gerade eine ausführliche Analyse (ist in ca. 10 min online). Vorab: es gibt noch kein Debian-Update, aber der Fehler ist unter Debian auch nicht wirklich kritisch. Details in Kürze...

Ich konnte das Problem zumindest unter Jessie mit der aktuellen 1.3.5 nicht nachvollziehen.
Es soll laut den Kommentaren bei Heise zufolge auch reichen mod_copy in /etc/proftpd/modules zu deaktivieren und den ProFTPd neu zu starten.

Der ProFTPD-Fehler 4169 (CVE-2015-3306) erlaubt es unangemeldeten FTP-Benutzern, auf Dateien des Webservers zuzugreifen. Laut einem Bericht bei heise.de werde dieser Fehler derzeit aktiv ausgenutzt.

Hier sind die Ergebnisse unserer Analysen, was mit LiveConfig verwaltete Systeme betrifft:

• Der Fehler ist offenbar seit mindestens Mitte April 2015 bekannt (Quelle).
• Debian 6 (Squeeze) ist nicht betroffen (dort ist mod_copy nicht enthalten)
• Debian 7 (Wheezy) und Debian 8 (Jessie) sind betroffen (Debian Security CVE-2015-3306).

Wir können aber in einem gewissen Umfang Entwarnung geben: in unseren Tests ließ sich auf Debian-Systemen kein Schadcode einschleusen/ausführen. Auch der von Heise verlinkte Exploit ist wirklungslos. Grund:

• So lange kein Endkunde beim ProFTPD authentifiziert ist, läuft der betroffene ProFTPD-Prozess mit dem Benutzer "proftpd" und der Gruppe "nogroup".
• Das beschriebene Angriffs-Szenario funktioniert indem eine ungültige Zieldatei mit einem PHP-Script als Dateinamen geöffnet werden soll; das schlägt natürlich fehl und dieser "Dateiname" wird in der ProFTPD-Logdatei protokolliert. Der Exploit schreibt bzw. verlinkt eben diese Logdatei dann in den Webspace des anzugreifenden Kunden.
• Und genau das klappt bei mit LiveConfig verwalteten Servern nicht: der Benutzer "proftpd" hat keinerlei Zugriffsrechte auf Kunden-Verzeichnisse - nicht einmal lesend. Das heißt, es kann weder eine Datei mit Schadcode in irgendeinen Webspace geschrieben werden, noch können private Daten aus fremden Webspaces ausgelesen werden.

Es steht aber nicht zur Diskussion, dass es sich hier um eine Sicherheitslücke handelt. Da nicht authentifizierte Benutzer zumindest in global schreibbaren Verzeichnissen (/tmp/ etc) Dateien (bzw. Symlinks) erzeugen können, bestehen andere Risiken (u.a. DoS).
Wir empfehlen als Workaround, auf betroffenen Systemen einfach das Modul "mod_copy" zu deaktivieren:

sed -i -e 's/^LoadModule mod_copy.c/# LoadModule mod_copy.c/g' /etc/proftpd/modules.conf
service proftpd restart

Die Wahrscheinlichkeit, dass auf Debian-Systemen über diese Lücke Schadcode eingeschleust wurde, halten wir mit LiveConfig für ausgeschlossen.

Tests mit CentOS und Ubuntu laufen derzeit noch, ein weiteres Update folgt in Kürze.

Hallo

vielen Dank für die Analyse durch das LiveConfig Team.

Mit freundlichen Grüßen

Martin Krüger

Danke für die Schnelle Reaktion!

MFG

Zitat von kk

[*]Debian 6 (Squeeze) ist nicht betroffen (dort ist mod_copy nicht enthalten)
[*]Debian 7 (Wheezy) und Debian 8 (Jessie) sind betroffen (Debian Security CVE-2015-3306).
[/LIST]

Na....da sind wir mal froh, nicht immer sofort das Neueste haben zu müssen *g*.
Soll ja auch so "Kinderkrankheiten" geben, die erst erkannt und behoben werden sollten....

[offtopic]ganz so entspannt wäre ich bei nem Squeeze nciht mehr, wobei das Ansichtssache ist[/offtopic]

Für Jessie kam gerade die 1.3.5-1.1 die das Problem behebt.

* Non-maintainer upload by the Security Team
  * Fix CVE-2015-3306: unauthenticated copying of files via SITE CPFR/CPTO
    allowed by mod_copy (Closes: #782781)

Edit: (thomas16 war schneller :D)

Package        : proftpd-dfsg
CVE ID         : CVE-2015-3306
Debian Bug     : 782781


Vadim Melihow discovered that in proftpd-dfsg, an FTP server, the mod_copy module allowed unauthenticated users to copy files around on the server, and possibly to execute arbitrary code.


For the oldstable distribution (wheezy), this problem has been fixed in version 1.3.4a-5+deb7u3.


For the stable distribution (jessie), this problem has been fixed in version 1.3.5-1.1+deb8u1.


For the testing distribution (stretch) and unstable distribution (sid), this problem has been fixed in version 1.3.5-2.


We recommend that you upgrade your proftpd-dfsg packages.

ebenso für Wheezy
Dort ist jetzt proftpd-basic_1.3.4a-5+deb7u3_amd64.deb aktuell