[0-day] Proftpd mod_tls angreifbar

Rund um die Sicherheit des Systems und die Applikationen
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

[0-day] Proftpd mod_tls angreifbar

Post by lord_pinhead » 2007-08-25 14:17

Anscheinend ist Proftpd mit mod_tls angreifbar mit einem Exploit. Auf Packetstorm Security wurde gestern ein entsprechender Exploit hochgeladen, in dem behauptet wird das es sich um ein preauthentication bug handelt. Der Bug soll schon 2004 entdeckt worden sein und ein Exploit geschrieben.Der Exploit selbst schafft es nicht sich einfach anzumelden. Dafür hat der Author eine Bruteforce Funktion eingebaut. Für Gentoo gibt es sogar 2 Auswahlmöglichkeiten, je nach Installation von OpenSSL.

Übersetzt wird das ganze mit "gcc -g -O2 -pthread proftpd-overflow.c -lssl -lz -lresolv -lm -ldl -lnsl -o proftpd-overflow". Beim ersten Start sieht man auch wie man es einsetzen muss. Allerdings läuft das Programm jetzt schon 3 Stunden und versucht 3 Rechnern zu kapern (1 Produktionsrechner, 2 Virtuelle Gentoo 2007.0 Installationen). Bisher ist noch kein Einbruch gelungen, was aber nicht heißt das es nicht möglich wäre. Vielleicht kann jemand anders es noch testen

Einzige möglichkeit dem entgegen zu wirken wäre mod_tls im FTP abzuschalten oder gleich auf WebDAV umzusteigen und FTP komplett zu löschen.

Vielleicht sagt einer ob Ihm ein Einbruch gelungen ist oder ob das nur Panikmache war und kein Sicherheitsrisiko darstellt.

So Long

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [0-day] Proftpd mod_tls angreifbar

Post by Joe User » 2007-08-25 14:52

Lord_Pinhead wrote:Dafür hat der Author eine Bruteforce Funktion eingebaut. Für Gentoo gibt es sogar 2 Auswahlmöglichkeiten, je nach Installation von OpenSSL.

Beide Gentoo-Optionen sind mehr als veraltet, weshalb grundsätzlich Brutforce genutzt wird. Zudem, wenn der Exploit, wie im Header angegeben, bereits 2006 veröffentlicht wurde, dürfte der Bug längst gefixt sein.