2014-1436: tnftp: Eine Schwachstelle im FTP-client von NetBSD erlaubt das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2014-11-03 13:05)

Neues Advisory

Version 2 (2014-11-04 13:01)

NetBSD hat die Schwachstelle für alle unterstützten NetBSD-Branches in allen aktuellen Versionen ab dem 27. Oktober 2014 behoben.

Version 3 (2014-11-05 12:40)

FreeBSD hat die Schwachstelle für alle unterstützten FredBSD-Branches in allen aktuellen Versionen ab dem 4. November 2014 behoben.

Version 4 (2014-11-11 10:38)

Für die Distributionen openSUSE 13.1 und openSUSE 13.2 wurden Sicherheitsupdates veröffentlicht.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
UNIX

Beschreibung:

Durch Ausnutzen einer Schwachstelle in "tnftp", dem Open Source FTP-Client von NetBSD, kann ein entfernter, nicht authentisierter Angreifer beliebige Befehle auf einem Client-System ausführen, von dem aus ein Download mittels des FTP-Clients durchgeführt wird. Von dieser Schwachstelle betroffen sind BSD-Abkömmlinge wie NetBSD und Mac OS X, aber auch zahlreiche Linux-Distributionen. Die Schwachstelle wurde von den NetBSD-Entwicklern selbst entdeckt. Ein Patch existiert bereits (stabiles Release 20141031 / October 31, 2014) und für Red Hat Fedora 20 sowie Extra Packages for Red Hat Enterprise Linux 6 und 7 werden aktualisierte Pakete zur Verfügung gestellt, welche die Schwachstelle beheben. Das Risiko wird als sehr hoch eingeschätzt, da sich die Schwachstelle relativ einfach ausnutzen lässt und diese bereits einer größeren Öffentlichkeit bekannt ist (siehe Heise Security Online vom 30.10.2014).

Schwachstellen:

CVE-2014-8517

Schwachstelle in "tnftp" erlaubt Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.