UPDATE: DFN-CERT-2015-0576 ProFTPD: Eine Schwachstelle ermöglicht das Manipulieren von Dateien und Ausführen beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2015-0576 ProFTPD: Eine Schwachstelle ermöglicht das Manipulieren von Dateien und Ausführen beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (20.05.2015):
Dieses Update enthält eine Korrektur zu der Meldung DFN-CERT-2015-0720,
die auf einem Heise-Artikel über ProFTPD vom 18. Mai 15 basiert, bitte
lesen Sie den Beschreibungstext. Außerdem stehen jetzt Sicherheitsupdates
für Debian zur Verfügung.
Version 2 (29.04.2015):
Für Fedora 21 und 22 sowie EPEL 7 werden ebenfalls Sicherheitsupdates in
Form der Pakete proftpd-1.3.5-5.fc21, proftpd-1.3.5-6.fc22, bzw.
proftpd-1.3.5-5.el7 (jeweils im Status ‘testing’) zur Verfügung gestellt.
Version 1 (20.04.2015):
Neues Advisory

Betroffene Software:

ProFTPD <= 1.3.5 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 7 Durch eine Schwachstelle in ProFTPD kann ein entfernter, nicht authentifizierter Angreifer Dateien manipulieren und beliebigen Programmcode zur Ausführung bringen. Diese Schwachstelle wurde am 18. Mai 2015 in dem referenzierten Artikel von Heise beschrieben, allerdings ohne Angabe der eindeutigen Referenz (CVE-2015-3306) und fälschlicherweise mit dem Hinweis, dass die ProFTPD-Versionen 1.3.5 und 1.3.4e diese Schwachstelle beheben. Das ist nicht korrekt, auch diese Versionen sind verwundbar. Derzeit existiert ein Patch für ProFTPD (Referenz anbei), für Fedora 20, 21 und 22 sowie Fedora EPEL 7 stehen Sicherheitsupdates im Status 'stable' zur Verfügung. Und Debian veröffentlicht für die Distributionen Wheezy, Jessie und Stretch (testing Version) Sicherheitsupdates. Patch: Fedora Security Update FEDORA-2015-6401 https://admin.fedoraproject.org/updates/FEDORA-2015-6401/proftpd-1.3.4e-2.fc20

Patch:

Fedora Security Update FEDORA-2015-7086

https://admin.fedoraproject.org/updates/FEDORA-2015-7086/proftpd-1.3.5-5.fc21

Patch:

Fedora Security Update FEDORA-2015-7164

https://admin.fedoraproject.org/updates/FEDORA-2015-7164/proftpd-1.3.5-6.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2015-6030

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6030/proftpd-1.3.5-5.el7

Patch:

Debian Security Advisory DSA-3263-1

https://www.debian.org/security/2015/dsa-3263

Patch:

ProFTPD Patch für Schwachstelle CVE-2015-3306

https://github.com/proftpd/proftpd/commit/35b65aaf7219be474f621a874ec77c85d9ec794d.patch

CVE-2015-3306: Schwachstelle in ProFTPD ermöglicht das Manipulieren von
Dateien und Ausführen beliebigen Programmcodes

Eine Schwachstelle in ProFTPD mit aktiviertem mod_copy-Modul basiert auf der
Bereitstellung der “SITE CPFR” bzw. “SITE CPTO”-Kommandos auch für nicht
autorisierte FTP-Clients. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um Dateien zu lesen und zu schreiben und
beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0576/

Fedora Security Update FEDORA-2015-6401:
https://admin.fedoraproject.org/updates/FEDORA-2015-6401/proftpd-1.3.4e-2.fc20

Schwachstelle CVE-2015-3306 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3306

Fedora Security Update FEDORA-2015-7086:
https://admin.fedoraproject.org/updates/FEDORA-2015-7086/proftpd-1.3.5-5.fc21

Fedora Security Update FEDORA-2015-7164:
https://admin.fedoraproject.org/updates/FEDORA-2015-7164/proftpd-1.3.5-6.fc22

Fedora Security Update FEDORA-EPEL-2015-6030:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6030/proftpd-1.3.5-5.el7

Heise Newsticker Artikel 18.05.2015 – Angreifer nutzen kritische Lücke in
ProFTPD aus:
http://www.heise.de/newsticker/meldung/Angreifer-nutzen-kritische-Luecke-in-ProFTPD-aus-2652114.html

Debian Security Advisory DSA-3263-1:
https://www.debian.org/security/2015/dsa-3263

ProFTPD Patch für Schwachstelle CVE-2015-3306:
https://github.com/proftpd/proftpd/commit/35b65aaf7219be474f621a874ec77c85d9ec794d.patch

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben