Kritische Lücke in ProFTPD!

  • Ich konnte das Problem zumindest unter Jessie mit der aktuellen 1.3.5 nicht nachvollziehen.
    Es soll laut den Kommentaren bei Heise zufolge auch reichen mod_copy in /etc/proftpd/modules zu deaktivieren und den ProFTPd neu zu starten.

  • Der ProFTPD-Fehler 4169 (CVE-2015-3306) erlaubt es unangemeldeten FTP-Benutzern, auf Dateien des Webservers zuzugreifen. Laut einem Bericht bei heise.de werde dieser Fehler derzeit aktiv ausgenutzt.


    Hier sind die Ergebnisse unserer Analysen, was mit LiveConfig verwaltete Systeme betrifft:


    • Der Fehler ist offenbar seit mindestens Mitte April 2015 bekannt (Quelle).
    • Debian 6 (Squeeze) ist nicht betroffen (dort ist mod_copy nicht enthalten)
    • Debian 7 (Wheezy) und Debian 8 (Jessie) sind betroffen (Debian Security CVE-2015-3306).


    Wir können aber in einem gewissen Umfang Entwarnung geben: in unseren Tests ließ sich auf Debian-Systemen kein Schadcode einschleusen/ausführen. Auch der von Heise verlinkte Exploit ist wirklungslos. Grund:

    • So lange kein Endkunde beim ProFTPD authentifiziert ist, läuft der betroffene ProFTPD-Prozess mit dem Benutzer "proftpd" und der Gruppe "nogroup".
    • Das beschriebene Angriffs-Szenario funktioniert indem eine ungültige Zieldatei mit einem PHP-Script als Dateinamen geöffnet werden soll; das schlägt natürlich fehl und dieser "Dateiname" wird in der ProFTPD-Logdatei protokolliert. Der Exploit schreibt bzw. verlinkt eben diese Logdatei dann in den Webspace des anzugreifenden Kunden.
    • Und genau das klappt bei mit LiveConfig verwalteten Servern nicht: der Benutzer "proftpd" hat keinerlei Zugriffsrechte auf Kunden-Verzeichnisse - nicht einmal lesend. Das heißt, es kann weder eine Datei mit Schadcode in irgendeinen Webspace geschrieben werden, noch können private Daten aus fremden Webspaces ausgelesen werden.


    Es steht aber nicht zur Diskussion, dass es sich hier um eine Sicherheitslücke handelt. Da nicht authentifizierte Benutzer zumindest in global schreibbaren Verzeichnissen (/tmp/ etc) Dateien (bzw. Symlinks) erzeugen können, bestehen andere Risiken (u.a. DoS).
    Wir empfehlen als Workaround, auf betroffenen Systemen einfach das Modul "mod_copy" zu deaktivieren:

    Code
    sed -i -e 's/^LoadModule mod_copy.c/# LoadModule mod_copy.c/g' /etc/proftpd/modules.conf
    service proftpd restart


    Die Wahrscheinlichkeit, dass auf Debian-Systemen über diese Lücke Schadcode eingeschleust wurde, halten wir mit LiveConfig für ausgeschlossen.


    Tests mit CentOS und Ubuntu laufen derzeit noch, ein weiteres Update folgt in Kürze.

  • Für Jessie kam gerade die 1.3.5-1.1 die das Problem behebt.


    Code
    * Non-maintainer upload by the Security Team
      * Fix CVE-2015-3306: unauthenticated copying of files via SITE CPFR/CPTO
        allowed by mod_copy (Closes: #782781)


    Edit: (thomas16 war schneller :D)


Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!