News-Meldung vom 12.02.2009 11:01
Für eine kürzlich bekannt gewordene Sicherheitslücke in ProFTPD 1.3.1 ist ein Exploit aufgetaucht. Nach Angaben des Internet Storm Center registrieren einige Anwender auch bereits erste Versuche, die Lücke mit dem Exploit auszunutzen, um Zugriff auf den FTP-Server zu erhalten.
Bei der Lücke handelt es sich um eine SQL-Injection-Lücke in den Modulen mod_sql_mysql und mod_sql_postgres in Zusammenhang mit der Nutzer-Authentifizierung via SQL. Dabei soll es möglich sein, durch Angabe bestimmter Nutzernamen und Passwörter sich als beliebiger Anwender anzumelden. Installationen, die Basis der Systemnutzer, sind nicht betroffen.
Neben dem Update auf Version 1.3.2 steht auch ein Patch bereit. Die Linux-Distributoren dürften demnächst ebenfalls aktualisierte Pakete herausgeben.
Siehe dazu auch:
(Daniel Bachfeld)
/
(dab)
English Version: SQL injection vulnerability in ProFTPD closed
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-194943
Themen-Forum Schwachstellen
Mehr zum Thema Exploit SQL-Injection
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
