Fehler in FTP-Software gefährdet Linux-Server In dem weit verbreiteten Server WuFTPD[1] ist ein Fehler bekannt geworden, der externen Angreifern vollen Zugang zum System ermöglicht. Beim Aufruf des Kommandos "SITE EXEC" kann der Benutzer interne Programmdaten überschreiben und damit eigenen Code zur Ausführung bringen. Da im Internet bereits Programme im Umlauf sind, mit denen auch Laien diesen Fehler ausnutzen können, sollten Benutzer des WuFTPD sofort entsprechende Patches einspielen oder den Dienst vorerst abstellen. Betroffen sind alle Versionen von WuFTPD einschließlich 2.6.0. Die Entwickler des FTP-Servers stellen bereits einen ersten Patch[2] bereit, der allerdings auf den Quellcode anzuwenden ist und damit eine Neuübersetzung des gesamten Pakets erfordert. Debian[3], RedHat[4] und Caldera[5] bieten bereits Updates ihrer vorkompilierten Pakete an, Hersteller wie SuSE[6] werden wohl in Kürze nachziehen. (ju[7]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/ju-26.06.00-000/ Links in diesem Artikel: [1] http://www.wuftpd.org [2] ftp://ftp.wu-ftpd.org/pub/wu-ftpd/quickfixes/apply_to_2.6.0/ [3] http://www.debian.org/security/2000/20000623 [4] http://www.redhat.com/support/errata/RHSA-2000-039-02.html [5] ftp://ftp.calderasystems.com/pub/OpenLinux/security/CSSA-2000-020.0.txt [6] http://www.suse.de/de/support/security/index.html [7] mailto:ju@ct.heise.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com