Neue Version von ProFTPD schließt Sicherheitslücke

Über eine Schwachstelle in ProFTPD ist es möglich, dass Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Ein Patch ist da.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 1.3.1 von ProFTPD auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch das fehlerhafte Setzen des Zeichensatzes vor der Formulierung von SQL-Abfragen. Durch gezielten Einsatz von Steuerzeichen können Angreifer nach Belieben eigenen SQL-Code in ein betroffenes System einspeisen. Die neuste Version 1.3.2 von ProFTPD beseitigt diesen Mangel.