Exploit- und Sicherheitsrisiko in ProFTPD

Am 29.10.2010 informierten die Entwickler von ProFTPD über eine neue Version des bekannten FTP-Servers.

Auf der Webseite von Parallels wurde auch von einer Sicherheitslücke informiert: Newsartikel von Parallels

Es wird dringend dazu geraten den FTP-Server auch die aktuelle Version (1.3.3c) upzudaten…

Wer ProFTPD über seine Distri installiert hat, sollte darüber nachdenken, die Version per Hand zu kompilieren.

Ich habe auch unseren Servern Ubuntu (Hardy) und Debian (Lenny) am laufen… Als Panel ist ispCP Omega installiert…

Mit dieser Anleitung kann man ohne Probleme auf die neue Version umsteigen

1. Sichern der vorhandenen Konfigdateien
   • /etc/default/proftpd
   • /etc/init.d/proftpd
   • /etc/proftpd/*
2. [bash]apt-get install g++ libmysqlclient15-dev libssl-dev libpostgresql-ocaml-dev libldap2-dev libltdl3-dev libwrap0-dev
   wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.gz
   tar xfvz proftpd-1.3.3c.tar.gz
   cd proftpd-1.3.3c
   ./configure –prefix=/usr –with-includes=/usr/include/postgresql:/usr/include/mysql –mandir=/usr/share/man –sysconfdir=/etc/proftpd –localstatedir=/var/run –libexecdir=/usr/lib/proftpd –enable-sendfile –enable-facl –enable-dso –enable-autoshadow –enable-ctrls –with-modules=mod_readme –enable-ipv6 –build x86_64-linux-gnu –with-shared=mod_site_misc:mod_load:mod_ban:mod_quotatab:mod_sql:mod_sql_mysql:mod_sql_postgres:mod_quotatab_sql:mod_ldap:mod_quotatab_ldap:mod_ratio:mod_tls:mod_rewrite:mod_radius:mod_wrap:mod_wrap2:mod_wrap2_file:mod_wrap2_sql:mod_quotatab_file:mod_quotatab_radius:mod_facl:mod_ctrls_admin:mod_ifsession
   make
   apt-get remove –purge proftpd
   make install[/bash]
3. Config Zurückspielen
4. [bash]update-rc.d proftpd start 50 2 3 4 5 .  stop 50 0 1 6 .
   /etc/init.d/proftpd start[/bash]

Nun sollte der FTP-Server wieder laufen und die aktuelle Version ist vorhanden