Honderdduizenden servers kwetsbaar door lek in ProFTPD
Honderdduizenden servers op internet zijn kwetsbaar door een beveiligingslek in de ftp-serversoftware ProFTPD en een beveiligingsupdate is nog niet beschikbaar. Via de kwetsbaarheid kan een aanvaller zonder schrijfpermissies elk bestand op de ftp-server kopiëren, zo ontdekte onderzoeker Tobias Madel.
Het computer emergency response team van de Duitse overheid (CERT-Bund) waarschuwt dat een aanvaller op afstand ook willekeurige code zou kunnen uitvoeren. Madel waarschuwde ProFTPD op 28 september vorig jaar en liet weten dat hij op 28 juli van dit jaar de details openbaar zou maken. Op 17 juli liet ProFTPD weten dat er een oplossing was ontwikkeld, maar die is nog niet uitgerold. "Er is geen gepatchte versie beschikbaar", aldus Madel. ProFTPD 1.3.6, de laatste versie die op 9 april 2017 verscheen, is ook kwetsbaar.
In afwachting van een beveiligingsupdate adviseert CERT-Bund om "mod_copy" in de ProFTPD-configuratie uit te schakelen. Volgens zoekmachine Shodan zijn er honderdduizenden ProFTPD-servers op internet te vinden.
Belachelijk inderdaad; je kan beter Pure-FTPd https://www.pureftpd.org/project/pure-ftpd/ gebruiken. Gelukkig hebben we de keus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
