Sicherheitslücken

01.09.2009 09:12

Sicherheitslücke im FTP-Dienst von Windows

Sicherheitslücken Auf der Mailingliste "Full Disclosure" ist ein Exploit aufgetaucht, mit dem man sich Systemrechte auf Microsoft-Servern verschaffen kann, sofern der FTP-Dienst aktiviert ist. Einen Patch gibt es bislang nicht.

Der Autor "Kingcope" schreibt in seinem Beitrag auf der Mailingliste, dass die Versionen 5 und 6 der Internet Informationen Services (IIS) betroffen sind. Die Echtheit des Exploit-Codes wurde bereits von einigen unabhängigen Sicherheitsexperten bestätigt.


Der Quellcode des Exploits wurde in einer PDF-Datei veröffentlicht und enthält speziell auf Windows 2000 zugeschnittenen Shellcode. Mit Hilfe eines anonymen Logins stellt man eine Verbindung zum FTP-Server her, auf dem mit dem Kommando MKD zwei Verzeichnisse angelegt werden. Die Sicherheitslücke steckt dann im Kommando NLST, mit dem der Inhalt eines Verzeichnisses dargestellt werden kann.

Bislang ist nur sehr wenig über die Funktionsweise des Exploits bekannt. Server-Admnistratoren sollten den FTP-Login auf vertrauenswürdige Nutzer beschränken, um vorerst auf der sicheren Seite zu sein. Von Microsoft liegt noch keine Stellungnahme vor.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] PsYcHoTiC am 01.09.09 09:16 Uhr
(+1
Das ist natürlich weniger schön...
 
[re:1] Viceinator am 01.09.09 09:20 Uhr
 
@PsYcHoTiC: Das is MS^^ Naja mittlerweile gehts aber mit der Sicherheit von MS-Produkten. Ist ja auch nicht so einfach alles zu überblicken. Fehler werden gemeldet und dann muss man halt hoffen, dass MS sich drum kümmert. Aber ich denke, bei schwerwiegenden Dingen werden die Entwickler sich schon dransetzen um das zu beheben.
Bearbeitet am 01.09.09 um 09:26 Uhr.
 
[re:2] kinterra am 01.09.09 11:31 Uhr
(-4
@Viceinator: Und nun stelle dir mal vor, bei Open Source und Linux werden die Fehler schnellstmöglich behoben und das ohne eines Patchdays.. Bei großen Distributoren sowieso, da braucht man nur wenig warten. Oft werden die Lücken innerhalb eines Tages geschlossen nach bekannt werden der Lücke. Übrigens das Unterscheidet das ganze von der obigen Nachricht. Während man bei Windows in der Regel wenig weiß, nimmt man durch die offene Struktur bei OS schneller die Analyse und Lösung vor. Man ist eben nicht von den (un)fähigkeiten eines Konzerns abhängig.
Bearbeitet am 01.09.09 um 11:32 Uhr.
 
[re:3] andi1983 am 01.09.09 19:32 Uhr
 
@kinterra: hat aber auch den Vorteil, dass das System von einem Haus kommt und nicht jeder Hinz und Kunz in das System etwas "reinpfuschen" kann
 
[o2] richardf am 01.09.09 09:30 Uhr
 
was?! ftp ist unsicher???


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Beliebte Downloads

Weitere Downloads

Verwandte Videos

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...
Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.