Kritische Lücke im FTP-Server ProFTPD

Vor einer kritischen Sicherheitslücke im verbreiteten FTP-Server ProFTPD mit der Identifikationsnummer CVE-2019-12815, durch die ein anonymer Nutzer offenbar Schreiboperationen auf dem Server durchführen kann, obwohl ihm das eigentlich nicht gestattet ist, warnt das CERT-Bund des BSI. Nach den Angaben im Bugtracker soll sich dieser Fehler auch zum Einschleusen und Ausführen von Code missbrauchen lassen.

Details zur Sicherheitslücke

Das Problem steckt in allen Versionen kleiner als 1.3.7. Die Sicherheitslücke steckt im Modul mod_copy. Laut CERT-Bund gibt es noch keinen Patch, der die Lücke schließwn könnte. Im Repository bei Github wurde das Problem zwar schon beseitigt, aber erfahrungsgemäß braucht es einige Zeit, bis die Änderungen auch wirklich die Installationspakete erreichen, die beispielsweise über die Repositories der Linux-Distributionen verteilt werden.

Ein Workaround entschärft das Problem

Betroffenen Admins rät das CERT, als Workaroud das angreifbare Modul mod_copy in der ProFTPD-Konfiguration einfach zu deaktivieren. ProFTPD ist recht weit verbreitet, belegen Zahlen des CERT-Bund: Danach werden allein in Deutschland circa 180.000 ProFtpd-Server betrieben, die über das Internet erreicht werden können.