KeyHelp Community

heise.de wrote:Das CERT-Bund des BSI warnt vor einer kritischen Sicherheitslücke im verbreiteten FTP-Server ProFTPD, durch die ein anonymer Nutzer offenbar Schreiboperationen auf dem Server durchführen kann, obwohl ihm das eigentlich nicht gestattet ist.

heise.de wrote:Betroffen sind alle Versionen, die kleiner als 1.3.7 sind. Die Sicherheitslücke klafft im Modul mod_copy.

heise.de wrote:Das CERT rät betroffenen Admins, als Workaroud das verwundbare Modul mod_copy in der ProFTPD-Konfiguration zu deaktivieren.

Jolinar wrote: ↑Tue 23. Jul 2019, 22:36 Zum Workaround:
Im File /etc/proftpd/modules.conf die Zeile:

Code: Select all

LoadModule mod_copy.c

suchen und wenn nicht bereits geschehen, mit "#" auskommentieren:

Code: Select all

#LoadModule mod_copy.c

Wenn Änderungen vorgenommen wurden, natürlich den Daemon neu starten.

In normalen Keyhelp-Installationen sollte diese Zeile aber bereits auskommentiert sein.

OlliTheDarkness wrote: ↑Tue 23. Jul 2019, 23:05 Das ist korrekt, bei unveränderter KeyHelp ist das Modul abgeschaltet.
Aber wir wissen ja aus unserer Forum Erfahrung wieviele gern mal rumspielen

Jolinar wrote: ↑Tue 23. Jul 2019, 23:08

OlliTheDarkness wrote: ↑Tue 23. Jul 2019, 23:05 Das ist korrekt, bei unveränderter KeyHelp ist das Modul abgeschaltet.
Aber wir wissen ja aus unserer Forum Erfahrung wieviele gern mal rumspielen

Wäre Keyhelp direkt betroffen, hätte ich diesen Thread auch nicht im OffTopic gepostet und mich zusätzlich auch mit den Dev's wegen eines möglichen Hotfixes in Verbindung gesetzt.
Davon mal ganz abgesehen sind hier sicher genug Admins unterwegs (mich eingeschlossen), die nicht nur Keyhelp-Maschinen betreuen.