ProFTPd 1.3.4 Sicherheitslücke "Remote Code Execution"

[GwenDragon]

Laut Meldung ZDI-CAN-1420: ProFTPD Response Pool Use-After-Free Remote Code Execution Vulnerability existiert in ProFTPd 1.3.4 ein ausnutzbare Lücke.
Siehe auch http://bugs.proftpd.org/show_bug.cgi?id=3711

Betrifft das auch Plesks ProFTPds <= 1.3.4?

//EDIT:
Wie ist das unter Debian 6? Verwundbar? Unter http://www.debian.org/security/ ist nichts zu finden.

Laut ProFTPd-Bugtracker existiert auch für 1.3.3 ein patch.
Kann eine nur hoffen, dass Plesk nicht mehrere Wochen zum patchen braucht.

Oder sollte eine erst Mal FTP deaktivieren?

 

[catwiesel]

Oder sollte eine erst Mal FTP deaktivieren?

"Eine" ?
Also FTP deaktivieren bedeutet ja gleichgestellt für manch einen die Arbeit einzustellen?
Klar, eine Sicherheitslücks sollte geschlossen werden, aber übertreiben tu ichs nicht

 

[d4f]

Soweit ich den Report korrekt verstanden und interpretiert hab wird ausschliesslich von Memory Corruption und dadurch bedingtes Segfault geredet. Klar, es ist nicht schoen wenn jemand dir auf Wunsch den FTP-Server abschiessen kann, aber eine Sicherheitsluecke ist es dadurch noch nicht.

Ich dachte Plesk benutzt distro-eigene Services, die Updates wuerden also ueber deine Distro reinkommen?

 

[stefans]

Also hier ist noch nichts aufgeführt:

http://packages.debian.org/changelo...-dfsg/proftpd-dfsg_1.3.3a-6squeeze1/changelog

Naja, brauch den FTP Dienst eh nicht, von daher kann ich den bei mir auch abschalten

 

[Joe User]

ZDI hat einen CVSS von 9 vergeben und im Einzelnen so http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:S/C:C/I:C/A:C) bewertet. Demnach ist es per Remote relativ leicht möglich root zu erlangen und so beliebigen Code auszuführen.

Deadline zum Public Release ist übrigens der 25.04.2012, also viel Spass bis dahin mit Euren unsicheren ProFTPd (für Plesk könnt Ihr erfahrungsgemäss noch etliche Wochen oder Monate länger auf einen Fix warten)...

 

[d4f]

Deadline zum Public Release ist übrigens der 25.04.2012, also viel Spass bis dahin mit Euren unsicheren ProFTPd

Das Problem ist doch in Trunk gefixt und zB unter Debian-Bug #648373 bekannt und auf einen Patch wartend.
Da der Patch auf 1.3.3 backported wurde sollte ein Release nicht mehr all zu lange dauern.
_Ich_ als Debian-User muss ja nicht den genauen Exploit kennen um einen Patch auf zu spielen.

Ausser ZDI haette Informationen ueber die Auswirkung zurueckbehalten kann ich nur von gezielter Memory Corruption und dadurch bewierktem Segfault was lesen; und was haette ein Angreifer von einem abgestuerzten FTP-Server?

 

[Joe User]

Ich lese dort ganz deutlich "Remote Code Execution" und nicht Segfault, was sowohl der CVSS als auch der Sourcecode/Patch bestätigt.

 

[Joe User]

Um es nochmal aufzuklären welche Versionen nicht verwundbar sind: Der Bug wurde in den offiziellen Releases 1.3.3g und 1.3.4 gefixt. Alle früheren Releases (<=1.3.3f) sind somit weiterhin verwundbar und müssen dringlichst auf den aktuellen Stand gebracht werden.

 

[sbr2d2]

Nabend,

ich habe da so ein kleines Problem mit dem updaten.Ich habe auf meinem Root Plesk 9.3 drauf.Das Plesk habe ich heute per update auf den neusten Stand gebracht.Den Server mit apt-get update/upgrade.Nun habe ich aber immer noch Proftpd in der Version 1.3.1 auf meinem System laufen.Hat jemand einen Idee wie ich das fixen kann?

gruß s.b.

 

[d4f]

Welche Debian- respektiv Ubuntu-Version hast du denn?
1.3.1 klingt nach Debian 5 "Lenny" (aka: oldstable), welches nicht die aktuellste Version ist.
Du solltest auf Debian 6 "Squeeze" aktualisieren, dieser hat allerdings aktuell noch keinen Patch fuer das Sicherheitsloch parat. Aktuell bleibt nur den Patch manuell auf den Sourcecode an zu weden.

Afaik hat Plesk 9.x aber so einige Probleme mit dem Upgrade (welches uebrigens auch einen PHP-Versionssprung auf 5.3.x mit sich bringt)


@Joe User: Im Titel ja, in der darauffolgenden Erklaerung wird nur von gezielter Memory corruption gesprochen, ich gehe aber mittlerweile davon aus dass ein Angreifer sich damit Befehle und evtl. NOP-Rutschen bauen kann; die Details werden ja schliesslich (noch) nicht verraten.

 

[Joe User]

ich gehe aber mittlerweile davon aus dass ein Angreifer sich damit Befehle und evtl. NOP-Rutschen bauen kann;

Ja, er kann Code in den Speicher schreiben, später ausführen und darüber höchstwahrscheinlich auch root erlangen.

 

[Joe User]

Das Advisory ist online: http://www.zerodayinitiative.com/advisories/ZDI-11-328/

root ist also nur möglich, wenn ProFTPd auch als root ausgeführt wird.

 

[tyan_trinity]

Letztes Jahr Anfang November gabe es auch ein Problem mit proftpd, damals wie heute habe ich unter Lenny, mit Plesk 10.3.1 meinen proftpd von 1.3.1 auf 1.3.4 updedatet:

wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.4.tar.gz
tar xzfv proftpd-1.3.4.tar.gz
cd proftpd-1.3.4
./configure
make
mv /usr/sbin/proftpd /usr/sbin/proftpd.old
cp proftpd /usr/sbin/proftpd

Siehe Thread:

Plesk 9.5.2 sowie 9.5.3 Sicherheits Problem FTP

Bei Plesk 9.5.x gibt es ein Problem mit dem ProFTPD. Am 27.10.2011 ist bekannt geworden, dass in ProFTPD zwischen Version 1.3.2rc2 und 1.3.3c die Möglichkeit besteht, mit root Rechten Code mittels eines Buffer Overflows auszuführen. Seit GESTERN gibt es dafür einen Remote Root Exploit! Den...

serversupportforum.de

 

[GwenDragon]

Neu kompilieren ist sicher eine Möglichkeit.
Bei einer Neukompilierung muss dann nur die Datei proftpd ausgetauscht werden? Und die libs, utils nicht?

 

[d4f]

FYI, aus der Debian-Mailingliste:

About lenny, it appears the 1.3.1 version still had not the feature
of dispatching control commands while data transfers are going on.
So the whole pool mechanism is not operational and the issue does not
apply at all.

Downgraden von Proftpd ist also ebenfalls eine Option. Debian unstable (sid) hat bereits den Patch.
Wie es mit anderen Distributionen aussieht weiss ich nicht.

 

[Deleted member 10028]

Ich habe ProFTPd auf meinen Lenny- und Squeeze-Systemen einfach mit der aktuellen Source neu kompiliert und fertig.
Wieso macht ihr daraus so ein großeres Thema?

 

[stefans]

Stimmt, für was braucht man dann überhaupt eine Paketverwaltung...

 

[Deleted member 10028]

Ich bemühe mich darum, meine Systeme auf einem stets sicheren Stand zu halten.
Wenn man seine Server wochenlang mit bekannten Fehlern laufen lassen möchte, sollte man darüber nachdenken, ob ein Server das Richtige für einen ist.

Gerade die "großen" Systeme ála Plesk & Co. brauchen für solche Bugfixes besonders lange.

 

[Huschi]

Gerade die "großen" Systeme ála Plesk & Co. brauchen für solche Bugfixes besonders lange.

Wie entstehen Gerüchte oder schlechte Publicity? Genau so!
Beim ähnlichen Vorfall im letztes Jahr lieferte Parallels bereits nach weniger als 48 Stunden ein Micro-Update.
Also lasst doch bitte diese absolut blödsinnigen, abwertenden und überflüssigen Bemerkungen und Gerüchte-Bildung.

huschi.

 

[Deleted member 10028]

Wenn das wirklich so stimmt, dann revidiere ich meine Aussage natürlich.