Lücke in Linux-FTP-Server wu-ftpd

SecurityFocus warnt vor einer Lücke im Linux-FTP-Server wu-ftpd, der in vielen Linux-Distributionen enthalten ist. Red Hat veröffentlichte - gegen die interne Abmachung - einen Patch. Jetzt sind alle im Zugzwang.

Die Lücke im FTP-Zugang kann nur bei Servern mit offenem Gast-Account (Anonymous) genutzt werden. SecurityFocus demonstriert, wie die Lücke funktioniert. Über den Remote-Zugang kann über die Lücke Code auf dem Server ausgeführt werden.

Betroffen sind die gängigen Linux-Distributionen, wie SuSE, Red Hat, Mandrake, Caldera und Debian. Eine komplette Liste finden Sie hier bei SecurityFocus. Wegen der weiten Verbreitung hatten sich die Beteiligten auf ein gemeinsames Release Datum von Patches geeinigt. Der 3. Dezember war vorgesehen. Red Hat hat aber nach Angaben von SecurityFocus bereits am 27. November Details zu der Lücke publik gemacht.

Installationen mit wu-ftpd 2.5.0, 2.6.0, 2.6.1 und auch ftpd-BSD 0.3.2 und 0.3.3 öffnen die Lücke. Patches finden sich bei WU-FTPD.org für die aktuelle Version 2.6.1. Benutzern anderer Versionen wird ein Update und anschließendes Einspielen der Patches empfohlen.

Weil die interne Entwickler-Version 2.7.0 ebenfalls den Bug enthält, hat man sich bei WU-FTPD.org entschlossen, die Versionsnummer zu streichen. Stattdessen wird es eine Version 2.6.2 des Daemons geben, die alle Patches enthält. Einige Distributionen - wie etwa Red Hat - hatten die 2.7.0-Version bereits enthalten. Bei Red Hat heißt das 2.7.0-Paket wu-ftpd 2.6.1-16.

Zusätzliche Informationen zum Thema finden Sie im Report Viren unter Linux. Mögliche Sicherheitsvorkehrungen sind im Report Linux-Firewall mit ipchains beschrieben. (uba)