Im Open Source FTP-Server ProFTPD existiert in den Versionen bis 1.3.5b eine Schwachstelle CVE-2019-12815, die das Ausführen von beliebigem Programmcode mit den Rechten des Dienstes ermöglicht.
Anzeige
ProFTPD ist ein Open Source FTP-Server. Ich weiß nicht, wie viele Blog-Leser/innen einen ProFTPD FTP-Server betreiben oder administrieren. Hetzner hat hier beispielsweise einen Artikel, um das Teil einzurichten. Daher nur eine kurze Meldung, die die Betroffenen entsprechend einsortieren müssen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Die Schwachstelle CVE-2019-12815 ist jedenfalls in der National Vulnerability Database (NVD) aufgeführt.
An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.
CERTBund hat das Ganze in dieser Warnmeldung aufgegriffen. In älteren Versionen der Software wird eine Abfrage im Modul mod_copy fehlerhaft aufgelöst, so dass eine Remote Code Execution (RCE) möglich wird. Das Risiko wird als hoch eingestuft. Es gibt aber bereits einen Fix (mod_copy in der ProFTPd Konfigurationsdatei deaktivieren). Heise hat sich in diesem Artikel mit den Details beschäftigt.
2015
Ich weiss, es ist Wunschdenken: ftp Dienste werden bei sauber konfigurierten Maschinen per xinetd nach Bedarf gestartet und laufen mit Userrechten. Die Betonung liegt auf User.
"Die Betonung liegt auf User."
Unprivilegiert laufender Code kann beispielsweise alle Dateien des Benutzers verschlu^H^Husseln, oder über eine zweite, "escalation of privilege" erlaubende Schwachstelle das ganze System übernehmen.
hmm, ja es sind Benutzer.
Wer sonst?
Proftpd setzen wir auch auf 2 Servern ein. Der eine ist allerdings auf 3-4 IP-Adressen und bestimmte FTP-Befehle beschränkt und der andere nur per VPN erreichbar. Der Angriff müsste somit aus den eigenen Reihen kommen (was man natürlich nie ausschließen sollte).
Solange der ProFTP wie von mir oben beschrieben konfiguriert ist, dürfte das mit dem "Angriff" in jedem Fall recht schnell enden, denn von einer privilege escalation ist in der CVE keine Rede. Wer von außen erreichbare Dienste als root laufen lässt, dem hilft auch keine wie auch immer geartete Einschränkung im Nachgang.
Einer mit xinetd, der andere im standalone-Modus mit extra angelegtem Benutzer. Der eine Server ist von außen erreichbar, aber eben nur von bestimmten IP-Adressen aus.