UPDATE: DFN-CERT-2014-1436 tnftp: Eine Schwachstelle im FTP-client von NetBSD erlaubt das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE][Unix][FreeBSD][NetBSD]

UPDATE: DFN-CERT-2014-1436 tnftp: Eine Schwachstelle im FTP-client von NetBSD erlaubt das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE][Unix][FreeBSD][NetBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (11.11.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 wurden
Sicherheitsupdates veröffentlicht.
Version 3 (05.11.2014):
FreeBSD hat die Schwachstelle für alle unterstützten FredBSD-Branches in
allen aktuellen Versionen ab dem 4. November 2014 behoben.
Version 2 (04.11.2014):
NetBSD hat die Schwachstelle für alle unterstützten NetBSD-Branches in
allen aktuellen Versionen ab dem 27. Oktober 2014 behoben.
Version 1 (03.11.2014):
Neues Advisory

Betroffene Software:

tnftp < 20141031 Betroffene Plattformen: FreeBSD < 8.4-RELEASE-p19 FreeBSD < 8.4-STABLE FreeBSD < 9.1-RELEASE-p22 FreeBSD < 9.2-RELEASE-p15 FreeBSD < 9.3-RELEASE-p5 FreeBSD < 9.3-STABLE FreeBSD < 10.0-RELEASE-p12 FreeBSD < 10.1-PRERELEASE FreeBSD < 10.1-RC2-p3 FreeBSD < 10.1-RC3-p1 FreeBSD < 10.1-RC4-p1 NetBSD >= 5.1
NetBSD <= 5.1.4 NetBSD >= 5.2
NetBSD <= 5.2.2 NetBSD >= 6.0
NetBSD <= 6.0.6 NetBSD >= 6.1
NetBSD <= 6.1.5 openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen einer Schwachstelle in "tnftp", dem Open Source FTP-Client von NetBSD, kann ein entfernter, nicht authentisierter Angreifer beliebige Befehle auf einem Client-System ausführen, von dem aus ein Download mittels des FTP-Clients durchgeführt wird. Von dieser Schwachstelle betroffen sind BSD-Abkömmlinge wie NetBSD und Mac OS X, aber auch zahlreiche Linux-Distributionen. Die Schwachstelle wurde von den NetBSD-Entwicklern selbst entdeckt. Ein Patch existiert bereits (stabiles Release 20141031 / October 31, 2014) und für Red Hat Fedora 20 sowie Extra Packages for Red Hat Enterprise Linux 6 und 7 werden aktualisierte Pakete zur Verfügung gestellt, welche die Schwachstelle beheben. Das Risiko wird als sehr hoch eingeschätzt, da sich die Schwachstelle relativ einfach ausnutzen lässt und diese bereits einer größeren Öffentlichkeit bekannt ist (siehe Heise Security Online vom 30.10.2014). Patch: Fedora Security Update FEDORA-2014-14113 https://admin.fedoraproject.org/updates/FEDORA-2014-14113/tnftp-20141031-1.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2014-3745

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3745/tnftp-20141031-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2014-3748

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3748/tnftp-20141031-1.el6

Patch:

NetBSD Security Advisory NetBSD-SA2014-013

http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-013.txt.asc

Patch:

FreeBSD Security Advisory FreeBSD-SA-14:26.ftp

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A26.ftp.asc

Patch:

openSUSE Security Update: openSUSE-SU-2014:1383-1

http://lists.opensuse.org/opensuse-updates/2014-11/msg00029.html

CVE-2014-8517: Schwachstelle in “tnftp” erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle im FTP-Client von NetBSD besteht in einer unsicheren
Ableitung von Dateinamen. Wenn beim Download einer Datei über HTTP der Name
der Ausgabedatei nicht über den Parameter -o angegeben wird (indem z. B.
einfach nur “ftp http://server/path/file.txt” eingegeben wird), leitet der
FTP-Client den Dateinamen normalerweise automatisch aus dem Teil hinter dem
letzten Schrägstrich ab (file.txt). Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen, indem er einen FTP-Server
manipuliert oder als Man-in-the-Middle (MitM), um den Client mit einem
HTTP-Redirect zu einer anderen URL umzuleiten und, indem er den
Pipe-Operator (|) sowie einen beliebigen Shell-Befehl an das
Redirect-Kommando anhängt, den Client diesen Befehl an popen() weitergeben
zu lassen, wodurch letztlich beliebiger Programmcode ausgeführt werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1436/

Fedora Security Update FEDORA-2014-14113:
https://admin.fedoraproject.org/updates/FEDORA-2014-14113/tnftp-20141031-1.fc20

Fedora Security Update FEDORA-EPEL-2014-3745:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3745/tnftp-20141031-1.el7

Fedora Security Update FEDORA-EPEL-2014-3748:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3748/tnftp-20141031-1.el6

Heise Security Online-Artikel vom 30.10.2014:
http://www.heise.de/security/meldung/Standard-FTP-Client-tnftp-fuehrt-Schadcode-aus-2438221.html

Schwachstelle CVE-2014-8517 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8517

NetBSD Security Advisory NetBSD-SA2014-013:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-013.txt.asc

FreeBSD Security Advisory FreeBSD-SA-14:26.ftp:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A26.ftp.asc

openSUSE Security Update: openSUSE-SU-2014:1383-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00029.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben