Disfunctions.de

Das Blog der gnadenlosen Fehlfunktionen!

Plesk 9.5 proftp Lücke schließen

Erstellt von Matthias am Dienstag 16. November 2010

proftpd Logo

proftpd Logo

Seit einigen Tagen besteht in proftp, dem FTP Server der auf vielen Servern läuft ,eine Sicherheitslücke, welche mittlerweile häufig ausgenutzt wird. Die meisten Server Anbieter weißen momentan auf diese Lücke hin und verlinken auf die Plesk Seiten die das weitere Vorgehen beschreiben. Da das ganze zumindest für mich anfangs verwirrend war, habe ich das hier nochmal zusammen gefasst. Plesk ändert nicht die Versionsnummer beim Einspielen des Patches, weist darauf aber auch nirgends hin, wodurch man eigentlich annimmt, dass man noch die Lücke im System hat. Dazu unten mehr.

Strato weist wohl auch teilweise betroffene Kunden daraufhin, wenn der Server schon infiltriert bzw. infiziert wurde. Man erhält laut verschiedenen Nutzern im Serversupportforum eine Mail des Supports.

Man kann die Lücke in Plesk entweder so schließen, indem man die Updates für die 9.5er Linie komplett einspielt. Da mittlerweile Plesk 10.x erschienen ist, wird auch die 10er Reihe in der Update Übersicht auftauchen. Dieses braucht man aber nicht zu installieren bzw. darauf zu upgraden. Die Meisten Hoster haben Plesk 10.x noch nicht offiziell frei gegeben und unterstützen es auch noch nicht. Daher bleibt am Besten erst mal bei 9.5!

Wenn dies abgeschlossen ist, kann man via


/usr/sbin/proftpd -v

in der Konsole nach schauen welche Version installiert ist. Man wird feststellen, dass weiterhin die Version 1.3.2e installiert ist. Scheinbar aktualisiert Plesk nicht die Versionsnummer um zukünftige reguläre Updates nicht durch den Patch zu verhindern. Plesk aktualisiert also nicht auf die 1.3.3c, welche offiziell ohne die Lücke erschienen ist.

Wem das zu unsicher ist oder wer sicher gehen will, dass nun 1.3.3c installiert ist, kann folgende Befehle ausführen um proftpd 1.3.3c manuell zu updaten. Bitte schaut vorher ob ihr wirklich selber wisst, was ihr da macht!


apt-get install libpam0g-dev
wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.gz
tar xzfv proftpd-1.3.3c.tar.gz
cd proftpd-1.3.3c
./configure
make
mv /usr/sbin/proftpd /usr/sbin/proftpd.old
cp proftpd /usr/sbin/proftpd

Wenn man anschließend wieder mit


/usr/sbin/proftpd -v

die Version testet, wird nun 1.3.3c angezeigt. Nun habt ihr definitiv die aktuelle Proftpd Version ohne Lücke installiert.

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>