FTP-sårbarhed i Java og Python giver adgang gennem firewalls

En sårbarhed i implementeringen af FTP i Java og Python kan give uvedkommende adgang til computere bag en firewall. Sårbarheden kan blandt andet bruges til at sende mails.

I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.

Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.

Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.

Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.

Ifølge ham er det muligt at danne en URL, der giver en angriber adgang til at udveksle data med en computer bag en firewall.

Anbefaling

Man kan beskytte sig mod angreb på sårbarheden ved at slå "classic mode FTP" fra i firewallen. Man kan også fjerne Java.

Links