Kritische Lücke in ProFTPD

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Kritische Lücke in ProFTPD

Post by Jolinar »

heise.de wrote:Das CERT-Bund des BSI warnt vor einer kritischen Sicherheitslücke im verbreiteten FTP-Server ProFTPD, durch die ein anonymer Nutzer offenbar Schreiboperationen auf dem Server durchführen kann, obwohl ihm das eigentlich nicht gestattet ist.
heise.de wrote:Betroffen sind alle Versionen, die kleiner als 1.3.7 sind. Die Sicherheitslücke klafft im Modul mod_copy.
heise.de wrote:Das CERT rät betroffenen Admins, als Workaroud das verwundbare Modul mod_copy in der ProFTPD-Konfiguration zu deaktivieren.
Kompletter Artikel: https://www.heise.de/security/meldung/C ... 77624.html
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Kritische Lücke in ProFTPD

Post by Jolinar »

Zum Workaround:
Im File /etc/proftpd/modules.conf die Zeile:

Code: Select all

LoadModule mod_copy.c
suchen und wenn nicht bereits geschehen, mit "#" auskommentieren:

Code: Select all

#LoadModule mod_copy.c
Wenn Änderungen vorgenommen wurden, natürlich den Daemon neu starten. ;)

In normalen Keyhelp-Installationen sollte diese Zeile aber bereits auskommentiert sein.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Kritische Lücke in ProFTPD

Post by OlliTheDarkness »

Jolinar wrote: Tue 23. Jul 2019, 22:36 Zum Workaround:
Im File /etc/proftpd/modules.conf die Zeile:

Code: Select all

LoadModule mod_copy.c
suchen und wenn nicht bereits geschehen, mit "#" auskommentieren:

Code: Select all

#LoadModule mod_copy.c
Wenn Änderungen vorgenommen wurden, natürlich den Daemon neu starten. ;)

In normalen Keyhelp-Installationen sollte diese Zeile aber bereits auskommentiert sein.
Das ist korrekt, bei unveränderter KeyHelp ist das Modul abgeschaltet.
Aber wir wissen ja aus unserer Forum Erfahrung wieviele gern mal rumspielen :lol:
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Kritische Lücke in ProFTPD

Post by Jolinar »

OlliTheDarkness wrote: Tue 23. Jul 2019, 23:05 Das ist korrekt, bei unveränderter KeyHelp ist das Modul abgeschaltet.
Aber wir wissen ja aus unserer Forum Erfahrung wieviele gern mal rumspielen :lol:
Wäre Keyhelp direkt betroffen, hätte ich diesen Thread auch nicht im OffTopic gepostet und mich zusätzlich auch mit den Dev's wegen eines möglichen Hotfixes in Verbindung gesetzt. 8-)
Davon mal ganz abgesehen sind hier sicher genug Admins unterwegs (mich eingeschlossen), die nicht nur Keyhelp-Maschinen betreuen. ;)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Kritische Lücke in ProFTPD

Post by OlliTheDarkness »

Jolinar wrote: Tue 23. Jul 2019, 23:08
OlliTheDarkness wrote: Tue 23. Jul 2019, 23:05 Das ist korrekt, bei unveränderter KeyHelp ist das Modul abgeschaltet.
Aber wir wissen ja aus unserer Forum Erfahrung wieviele gern mal rumspielen :lol:
Wäre Keyhelp direkt betroffen, hätte ich diesen Thread auch nicht im OffTopic gepostet und mich zusätzlich auch mit den Dev's wegen eines möglichen Hotfixes in Verbindung gesetzt. 8-)
Davon mal ganz abgesehen sind hier sicher genug Admins unterwegs (mich eingeschlossen), die nicht nur Keyhelp-Maschinen betreuen. ;)
Schon kla, gehöre ich auch zu 8-)
Und ja es ist aus , bereits vorher :P
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Kritische Lücke in ProFTPD

Post by select name from me; »

Danke für den Hinweis.
Viele Grüße, Christian
Post Reply