Zahlreiche Lücken in FTP-Server für Mac [Update]

Der Month of Apple Bugs hat mehrere Schwachstellen in Rumpus, einem FTP-Server für Mac zu Tage gefördert. Laut Fehlerbericht finden sich in rumpusd Heap Overflows, DoS-Lücken und Privilege-Escalation-Schwachstellen. Die Heap Overflows sollen sich sogar über das Netz ausnutzen lassen, um in ein System einzudringen. Da der Dienst mit Root-Rechten läuft, hätte ein Eindringling anschließend die volle Kontrolle über den Mac. Die meisten der Lücken sind laut Fehlerbericht auf Probleme beim Parsen von FTP- und HTTP-Anfragen sowie dem unsicheren Einsatz der Funktion system() zurückzuführen. Zudem seien die Rechte auf setuid-Binaries falsch gesetzt. Betroffen sind die aktuelle Version Rumpus 5.1 und vorhergehende auf Mac OS X für PowerPC und Intel. Ein Update ist noch nicht verfügbar.

Bislang bleibt der Month of Apple Bugs hinter den Erwartungen zurück. Zwar zeigt der MOAB, dass auch Software von und für Apple nicht fehlerfrei ist, allerdings fehlt bislang eine kritische Sicherheitslücke in Apples Betriebssystem, die für eine Vielzahl von Rechnern eine Bedrohung darstellen könnte. Widerwärtiges Detail am Rande: Wer versucht, auf eine URL eines noch kommenden MOAB-Fehlerberichtes zuzugreifen, bekommt eine Seite mit zahlreichen, äußerst geschmacklosen Pornobildern zu sehen. Zudem versucht die Seite, einen möglicherweise installierten IRC-Client zu öffnen und in einem Mac-Entwickler-Channel anzumelden. Darüber hinaus öffnen sich zahlreiche Mail-Fenster, die als Adressaten Rosyna Keller enthalten, eines der Mitglieder der MOAB-Fix-Gruppe und Mitentwicklerin des Application Enhancers (APE).

Die Initiatoren des MOAB, LMH und Kevin Finisterre dürften damit weiterhin Kritikern in die Hände arbeiten, die ihnen kindisches Verhalten vorwerfen. Die Veröffentlichung der Fehler diene demnach ohnehin nur der eigenen Profilsucht und weniger dem Anliegen, auf Sicherheitsprobleme aufmerksam zu machen, wie es etwa H. D. Moore noch mit seinem Month of Browser Bugs tat. Andere Entwickler, die versuchten die Probleme zu lösen, würden angegriffen oder lächerlich gemacht

Update
In einer Mail an heise Security weist LMH den Vorwurf des egoistischen und kindischen Verhaltens als Diffamierung zurück. In Zusammenhang mit dem Versuch des Zugriffs auf einen noch kommenden MOAB-Fehlerbericht schreibt LMH:"heise Security wurde mit der Hand in der Keksdose erwischt." Die ziemlich ekelhaften Bilder waren nicht böse gemeint, allerdings sollte man auch nicht versuchen, auf unveröffentlichte Fehlerberichte zuzugreifen. Die Initiatoren haben die Seite mittlerweile entfernt, sodass nur noch ein einfache Fehlermeldung zu sehen ist.

Siehe dazu auch:

• Rumpus Multiple Vulnerabilities, Fehlerbericht von MOAB

(dab/c't)