CERT warnt vor Loch im File Transfer Protocol

Ein Bug im File Transfer Protocol könnte laut den Sicherheitsspezialisten von PGP Security eine Hintertür für Angreifer und Vandalen offen lassen. Mittlerweile warnt auch CERT, das Coordination Center der Carnegie Mellon University, vor dem Fehler. „Diese Schwachstelle kann einem Angreifer einen einfachen Weg aufzeigen, Web-Sites zu verunstalten. Darüber hinaus können Daten verlorengehen und ganze private Netzwerke angegriffen werden“, sagte der Chef der PGP-Eingreiftruppe, Jim Magdych.

Das Problem taucht bei einer Funktion auf, die es den Nutzern erlaubt auf einem File Server nach bestimmten Wörtern zu suchen, obwohl sie den gesamten Dateinamen nicht kennen. Geben Angreifer einen speziell zusammengestellten Suchterminus ein, kann der Computer nach Angaben von PGP Security dazu gebracht werden, Malicious Code auszuführen.

Das Problem tritt laut seinen Entdeckern beim Standard OS-Paket von Sun Microsystems (Börse Frankfurt: SSY), Hewlett-Packard (HP Börse Frankfurt: HWP) und Silicon Graphics (SGI, Börse Frankfurt: SIG) auf. Auch das FTP-Softwarebundel, das zusammen mit Net BSD und Free BSD kommt, sei betroffen, so Magdych.

CERT listet die verschiedenen Anbieter von FTP-Software mit ihrem jeweiligen Status sowie Links auf. Bis ein Patch des Herstellers erhältlich ist, empfiehlt Magdych die Rechte von anonymen FTP-Usern so einzuschränken, dass sie keine Schreibrechte haben und kein Verzeichnis anlegen dürfen.