Login ohne FTP Passwort möglich [GELÖST]

[nevakee]

Hallo,

ich habe gerade eine beunruhigende Entdeckung gemacht.
Sobald ein Benutzer sein Passwort im Keyhelp im Profil ändert, kann man sich mit dem Hauptkonto per FTP nicht mit dem neuen Passwort einloggen, sondern nur ohne Passwort. Einfach Server und Benutzername eingeben, Passwortfeld leer lassen und man ist per FileZilla eingeloggt. Der Login im Keyhelp funktioniert mit dem neuen Passwort aber.
Ändere ich das Passwort als Administrator von dem jeweiligen Benutzer, funktioniert es, so wie es soll.

Wie kann denn so was passieren???
Ich habe es jetzt an 3 verschiedenen Rechnern an verschiedenen Internetanschlüssen getestet mit dem selben Ergebnis.

Code: Select all

Die Software auf Ihrem Server ist auf dem neuesten Stand.

Betriebssystem: Debian 9.8 (64-Bit)
Kernel: 4.9.0-8-amd64
Administrations-Panel: 19.0 (Build 1519)
Webserver: Apache/2.4.25 (Debian)
PHP: 7.0.33-0+deb9u3
Datenbank-Version: 5.5.5-10.1.37-MariaDB-0+deb9u1
FTP-Server: ProFTPD 1.3.5b
Datenbank-Administration: phpMyAdmin 4.8.5
Webmail: Roundcube 1.3.8 

[OlliTheDarkness]

Danke für die Info !

!! PROBLEM BESTÄTIGT !!

Das is nen hartes Ding ...

[hase]

[Tobi]

Kann ich aktuell unter Ubuntu 18.04 nicht nachvollziehen.

Aber mal ne generelle Frage...
Ist es denn möglich dem Systembenutzer den Login per FTP zu verbieten?
Mir wäre es lieber die User könnten sich NUR mit den FTP-Usern anmelden.

[derFu]

Ich kann das Problem auch bestätigen unter Debian 9.

Ist es denn möglich dem Systembenutzer den Login per FTP zu verbieten?
Mir wäre es lieber die User könnten sich NUR mit den FTP-Usern anmelden.

+1

[nevakee]

Ist es denn möglich dem Systembenutzer den Login per FTP zu verbieten?
Mir wäre es lieber die User könnten sich NUR mit den FTP-Usern anmelden.

Technisch reicht dafür vermutlich einfach die proftpd.conf zu bearbeiten und die Zeile "AuthOrder mod_sql.c" hinzuzufügen. Ich habe es aber nicht getestet.

[Alexander]

Danke fürs' Melden!

Das das FTP-Passwort, wenn über Profil-Seite geändert, sich nicht auf den Systembenutzer auswirkt, hatte ich die Tage auch schon festgestellt. Aber das man sich (anschließend aufgrund des o.g. Fehlers) komplett ohne Passwort einloggen kann, hatte ich bislang noch nicht auf dem Schirm, vielen Dank nevakee fürs investigieren!

Ich bereite jetzt umgehend das Hotfix Update vor. Es sollte heute noch live gehen. Ich lasse es euch hier wissen, wenn es soweit ist.

@Tobi, hab es mal auf die ToDo-Liste für ein späteres Update gesetzt.

[hase]

Danke fürs' Melden!

Ich bereite jetzt umgehend das Hotfix Update vor. Es sollte heute noch live gehen. Ich lasse es euch hier wissen, wenn es soweit ist.

Vielen Dank Alex für die schnelle Reaktion!

[nikko]

Gott sei Dank ist noch keine Urlaubszeit - wenn das Rollout läuft, sollten wir heute nacht auf dem neuesten Stand sein.

[nevakee]

Update ist verfügbar, aber das Problem ist bei mir immer noch nicht ganz behoben. Nach dem Ändern des Passwortes ist der Login ohne Passwort zwar nicht mehr möglich, aber das neue Passwort akzeptiert er trotzdem nicht.

Code: Select all

Hallo!

Ihre Control-Panel-Installation auf dem Server „xxx“ wurde auf Version 19.0.1 aktualisiert.

Eine Übersicht aller Änderungen der Version finden Sie hier: https://changelog.keyhelp.de

Bitte beachten Sie:
---
Aus Sicherheitsgründen war es notwendig, das Systembenutzerpasswort der folgenden Benutzer durch eine zufällige Zeichenkette zu ersetzen: xxx
Diese Maßnahme behob das Problem. Um jedoch das ordnungsgemäße Funktionieren aller Funktionen des Control-Panels zu gewährleisten, sollten Sie diese Benutzer anregen, ihr Passwort so schnell wie möglich zu aktualisieren.
---

[Alexander]

Problem bestand seit:

- Version 19.0 / Release: 04. März

Verbesserung für die Zukunft:

- Es ist in Zukunft nicht mehr möglich, das das Passwort eines Systembenutzers auf einen leeren String gesetzt werden kann (durch Bug/Fehler in KeyHelp)

Was ist mit Nutzern, die bereits Ihr Passwort geändert haben:

- Das System-Passwort dieser Benutzer wird auf eine Zufallszeichenkette gesetzt. Der Administrator wird darüber informiert, welche Benutzer betroffen sind.


Das Update steht ab sofort zur Verfügung.


---

@nevakee: Der KeyHelp-Cronjob (zur Abarbeitung der anstehender Arbeiten) läuft zu jeder vollen Minute (Standardeinstellung), ggf. war er bei dir nach Ändern des Passworts noch nicht durchgelaufen. Bitte versuchs noch einmal.

[nevakee]

@nevakee: Der KeyHelp-Cronjob läuft (Standardeinstellung) zu jeder vollen Minute, ggf. war er bei dir nach Ändern des Passworts noch nicht durchgelaufen. Bitte versuchs noch einmal.

Darauf habe ich schon geachte, dass der vorher gelaufen ist, bevor ich es getestet habe.
Ich habe auch die /etc/shadow Datei beobachtet, ob sich dort bei dem jeweiligen User was ändert. Die Datei wurde auch zur nächsten vollen Minute angepasst.

[Alexander]

Reproduzieren kann ich deinen Fall mit aktueller Version leider nicht. Kontrolliere bitte noch einmal alles, korrekter Benutzer, korrektes Passwort im FTP-Client usw.
Wenn das alles nichts hilft, könnte dir aber anbieten, einmal auf deinem Server zu schauen (dann schick mir einfach eine PM).

[nevakee]

Ok, bei mir am Rechner Zuhause funktioniert es.
Keine Ahnung, warum es vorhin am anderen Rechner nicht funktioniert hat (Jetzt funktioniert es auch dort).

[b0snaX]

Aber mal ne generelle Frage...
Ist es denn möglich dem Systembenutzer den Login per FTP zu verbieten?
Mir wäre es lieber die User könnten sich NUR mit den FTP-Usern anmelden.

Also aktueller Zustand gefällt mir am besten und so handhaben es die meisten größeren Provider oder Admin Panels.