Eine Schwachstelle im FTP-Server ProFTPD kann zur Ausführung eingeschleusten Schadcodes führen. Das Sicherheitsleck findet sich im mitgelieferten mod_sql. Ein Proof-of-Concept-Exploit ist bereits verfügbar.

Laut der Schwachstellenbeschreibung ist mod_sql von ProFTPD vor der Version 1.3.10rc1 von der Sicherheitslücke betroffen. Durch den übertragenen Nutzernamen können bösartige Akteure aus dem Netz ohne vorherige Anmeldung beliebige SQL-Befehle und Schadcode einschleusen. Das gelingt in Szenarien, die USER-Anfragen mit Erweiterungen wie „%U“ loggen und in denen das SQL-Backend Befehle zulässt, beispielsweise „COPY TO PROGRAM“ (CVE-2026-42167, CVSS 8.1, Risiko „hoch“).

Aktualisierte Software

ProFTPD 1.3.10rc1 ist am Montag erschienen und schließt die Sicherheitslücke, wie die Release-Notizen anzeigen. Die Entwickler haben zudem einen Backport des Sicherheitsfixes programmiert, ProFTPD 1.3.9a stopft das Sicherheitsleck ebenfalls.

Welche Systeme konkret betroffen sind, ist jedoch unklar. Einige große Distributionen wie Ubuntu bieten das mod_sql für ProFTPD als zusätzliches Installationspaket an, es kommt in der Standardinstallation also nicht unbedingt mit. Admins sollten daher prüfen, ob sie das mod_sql etwa für Logging in Datenbanken überhaupt einsetzen.

Die Internet-Dienst-Datenbank Shodan listet aktuell rund 690.000 ProFTPD-Instanzen weltweit. Die meisten davon, über 133.000, laufen in Deutschland, erst an zweiter Stelle folgen die USA.

ProFTPD ist bereits lange stabil, größere Sicherheitslücken finden sich nur noch selten darin. Etwa Ende November 2024 wurde aber etwa eine Rechteausweitungslücke in ProFTPD entdeckt. Auch damals war das mod_sql Auslöser für die Sicherheitswarnung. Wurde mod_sql in ProFTPD genutzt, ermöglichte das unberechtigten Zugriff auf Dateien und Ordner mit Root-Gruppenrechten (GID 0).

(dmk)

Dass einer Person der Zugang zu Visa, Mastercard, Paypal und Co. abgestellt werden kann und wie schwer der Alltag dadurch wird, haben in letzter Zeit mehrere Fälle gezeigt. Auch deshalb will sich die Europäische Union beim Bezahlen unabhängiger von US-Anbietern machen. Schon vor drei Jahren stellte die EU-Kommission den Gesetzentwurf für den Digitalen Euro (D€) vor, seitdem wird er verhandelt.

Die Mitgliedstaaten einigten sich im Dezember auf ihre Position und auch im Parlament scheint es einen Durchbruch gegeben zu haben. Dort waren die Verhandlungen zeitweise ins Stocken geraten. Wie Euronews berichtete und aus Verhandlungskreisen gegenüber netzpolitik.org bestätigt wurde, haben sich die zuständigen Abgeordneten darauf geeinigt, dass man mit dem Digitalen Euro sowohl online als auch offline bezahlen können soll. Dem war ein monatelanger Streit vorausgegangen.

Bankenlobby hat erst einmal das Nachsehen

Der für das Thema zuständige Berichterstatter im EU-Parlament, Fernando Navarrete von der konservativen Europäischen Volkspartei (EVP), hatte zunächst einen sogenannten Konditionalitätsmechanismus vorgeschlagen. Demnach hätte die Europäische Zentralbank (EZB) nur dann einen Online‑D€ launchen dürfen, wenn es bis zum Start kein privatwirtschaftliches pan-europäisches Bezahlsystem gegeben hätte.

Navarrete bekam dafür vor allem Lob von der Bankenlobby. Sie befürchtet, durch den D€ Einlagen zu verlieren und Profite bei den Zahlungen einzubüßen und treibt deswegen Wero als Alternative zu bestehenden Zahlungsmitteln voran. Schon in der vorherigen Legislaturperiode wurde der EVP vorgeworfen, den Digitalen Euro im Sinne der Banken zu verschleppen. Und auch ein Bericht der Organisation Finanzwende zeigte jüngst auf, wie die Banken erfolgreich gegen den Digitalen Euro lobbyieren.

Die EZB, die EU-Kommission und die Fraktionen von links (The Left) über sozialdemokratisch (S&D) bis liberal (Renew) hatten sich hingegen für einen D€ ausgesprochen, der sowohl on- als auch offline funktioniert. Auch der bei der EU-Kommission für den D€ zuständige Ulrich Clemens sagte vor kurzem bei einer Veranstaltung, es müsse “von Anfang an” eine Online- und Offline-Variante geben. Das sei eine grundlegende Voraussetzung, damit der Digitale Euro erfolgreich sein wird.

Aus der Wissenschaft erhielten die EVP-Pläne ebenfalls spürbaren Gegenwind: “Ein starker Digitaler Euro erfordert sowohl Online- als auch Offline-Funktionalität”, schrieb das Leibniz-Institut für Finanzforschung (SAFE). Kompromisse, die ausschließlich auf Online- oder ausschließlich auf Offline-Nutzung setzen, würden den strategischen Wert des Projekts schmälern. Im Januar warnten gleich 70 Ökonom:innen vor einer Aushöhlung des Vorhabens.

Welche dieser kritischen Stimmen den Berichterstatter Navarrete letztlich davon überzeugte, die Konditionalität fallen zu lassen, ist offen.

Kommt die schrittweise Einführung des Digitalen Euro?

Dennoch ist im Parlament noch keine Einigung in Sicht. Im Gegenteil: Die Verhandlungen sind in vollem Gange. Die zentrale Abstimmung im Ausschuss für Wirtschaft und Währung (ECON) war eigentlich für den 5. Mai geplant gewesen. Doch weil es noch zu viel zu besprechen gibt und die Visionen bislang zu unterschiedlich sind, wurde die Abstimmung auf den 23. Juni verschoben. Brüsseler Beobachter:innen zeigen sich davon wenig überrascht.

So steht derzeit die Frage im Raum, ob der Digitale Euro stufenweise eingeführt werden könnte. Dabei geht es nicht nur um Online- oder Offline-Funktionalität, sondern auch um die Frage, ob man schon zum Start sowohl physisch im Handel als auch beim Online-Shopping bezahlen kann und ob Nutzer:innen ihren Freund:innen und Bekannten auch privat Digitale Euros schicken können.

Die Banken begrüßen diesen Ansatz, auch weil er ihnen mehr Zeit geben würde, die eigene IT-Infrastruktur für den Digitalen Euro umzubauen. “Bei der schrittweisen Einführung geht es nicht um eine Verwässerung, sondern um die Nachfrage des Marktes und eine erfolgreiche Einführung”, sagte etwa Katharina Paust-Bokrezion von der Deutschen Bank bei einer Podiumsdiskussion im vergangenen März.

Aus Sicht von Befürworter:innen des Digitalen Euros könnte eine stufenweise Einführung auch Verzögerungen bei dessen Einführung verhindern. Sollte die Offline-Variante länger brauchen, könnte so schon einmal mit der Online-Variante gestartet werden, statt dass sich beide verspäten.

Datenschutz auch für kleinere Zahlungen

Für Diskussionen werden voraussichtlich auch noch weitere wichtige Vorschriften für die Digitale Währung sorgen, die etwa Datenschutz und Privatsphäre betreffen. Diese Themen wurden in den Verhandlungen noch nicht im Detail besprochen.

Der Linken-Abgeordnete Martin Schirdewan setzt sich für ein höheres Datenschutzniveau beim Online‑D€ ein. Gegenüber netzpolitik.org erklärte er: “Wir brauchen einen Privatsphäre-Schwellenwert bei kleineren Zahlungen, der ähnlich wie Bargeld die höchstmögliche Anonymität gewährleistet.” Ähnlich lautende Änderungsanträge finden sich quer durch das politische Spektrum. Markus Ferber von der bayerischen CSU etwa schlägt einen Schwellenwert von 100 Euro pro Transaktion vor.

Der Schattenberichterstatter für die Grünen-Fraktion, Damian Boeselager (Volt), schlägt darüber hinaus vor, dass für den D€ das Prinzip “privacy by design and default” (Datenschutz als Standard) gelten soll. Kryptografische Verfahren und „neueste Technologien“ sollen demnach ermöglichen, dass Daten minimiert und nicht verknüpft werden. Dass sich Menschen gegenüber Zahlungsdienstleistern mit biometrischen Daten identifizieren müssen, will Boeselagers Fraktion ebenso wie die fraktionslose Abgeordnete Sibylle Berg (Die PARTEI) verbieten.

Verschiedene Ansichten gibt es hingegen beim „zentralen Zugangspunkt“ (single-access-point). Mit seiner Hilfe sollen einerseits die Haltelimits durchgesetzt, andererseits aber auch der Wechsel zwischen verschiedenen Zahlungsdienstleister ermöglicht werden. Während die meisten Fraktionen auf diesen Vorschlag der Kommission setzen, plädiert etwa Berg für eine dezentrale Speicherung, wie sie auch der Europäische Datenschutzausschuss vorschlägt.

Wie viel Digitale Euro dürfen wir halten?

Die Haltelimits legen fest, wie viele Digitale Euros jede:r Nutzer:in halten darf. Das soll vor allem verhindern, dass die Europäer:innen zu viel Bankguthaben in Digitale Euros umtauschen und den Banken damit die privaten Einlagen ausgehen. Umgekehrt verringert ein zu niedriges Haltelimit möglicherweise die Attraktivität des Digitalen Euros.

Selbst die EVP ist sich hier nicht einig. Eine Mehrheit um Berichterstatter Navarrete, zu der auch Markus Ferber (CSU) gehört, sorgt sich vor allem um die Finanzstabilität und will dies zum zentralen Maßstab bei der Bestimmung der Limits machen. Andere EVP-Abgeordnete stimmen eher mit Sozialdemokrat:innen, Grünen und Linken überein und wollen, dass Haltelimits nicht zu niedrig angesetzt werden.

Bisher wurden Haltelimits zwischen 500 und 3000 D€ pro Person diskutiert. Von den Abgeordneten haben nur die wenigsten konkrete Zahlen vorgeschlagen. Stärker diskutiert wird hingegen, wer die verschiedenen Haltelimits setzen darf. Teile der EVP sowie die liberale Renew-Fraktion wollen, dass die Kommission die Haltelimits bestimmt. Sozialdemokrat:innen, Grüne und Linke sowie einzelne EVP-Abgeordnete sehen hier die EZB in der Verantwortung.

Die Mitgliedstaaten haben sich bereits darauf geeinigt, selbst eine Obergrenze für die Obergrenze setzen zu wollen. Die EZB dürfte das jeweilige Haltelimit somit nur unterhalb dieser Obergrenze festlegen. Die Mitgliedstaaten brachten auch eine Obergrenze von null Euro für Unternehmen ins Spiel. Dank einer automatischen Umwandlung und der Verknüpfung mit einem herkömmlichen Bankkonto könnten Unternehmen dann zwar trotzdem in D€ Geschäfte abwickeln, selbst jedoch keine Digitalen Euros halten.

Europäische Zentralbank scharrt mit den Hufen

Bis wann all diese Fragen geklärt sind? Markus Ferber von der CSU sagt: „Unser Ziel bleibt unverändert, die Verhandlungsposition des Europäischen Parlaments noch vor der Sommerpause zu fixieren.“

Dass sich das Parlament bis dahin auf den Digitalen Euro einigt, ist wichtig für den Zeitplan. Die Europäische Zentralbank, die das Projekt maßgeblich vorantreibt, scharrt schon mit den Hufen. Im Jahr 2029 möchte sie den Digitalen Euro unter die Menschen bringen. Und schon im nächsten Jahr sollen die eigenen Mitarbeitenden in einem gemeinsamen Pilotprojekt mit anderen europäischen Zentralbanken den D€ testen.

Für die Vorbereitungen braucht die EZB Klarheit darüber, was die europäischen Gesetzgeber für den D€ vorschreiben. Die Zentralbank bestätigt auf netzpolitik.org-Anfrage, dass der Zeitplan des Projekts an den Gesetzgebungsprozess gebunden ist. Bisher rechneten die EZB und die Bundesbank damit, den Zeitplan einhalten zu können, wenn das Gesetz bis 2026 verabschiedet ist.

Ob das aktuell noch gilt, lässt die EZB auf Anfrage offen. Fest stehe hingegen, dass das Pilotprojekt 2027 anlaufen wird, “auch wenn das Gesetzgebungsverfahren bis Ende 2026 noch nicht abgeschlossen sein sollte”, schreibt eine Sprecherin. Und sie fügt hinzu, dass die EZB die Vorbereitungen eines “potenziellen” Digitalen Euros weiter vorantreiben werde, auch wenn der EZB-Rat erst dann eine Entscheidung über dessen Ausgabe treffen werde, wenn die Regulierung der EU verabschiedet wurde.

Trilog unter Zeitdruck

Damit es dazu kommt, müssen sich nicht nur die Abgeordneten unter sich einig werden, sondern auch mit den Mitgliedsstaaten. Solche Trilog-Verhandlungen könnten in der ersten Juli-Hälfte starten, bevor in Brüssel die Sommerpause beginnt. Die Verhandlungen können sich dann ohne weiteres über mehrere Monate hinziehen; bei der KI-Verordnung lagen zwischen Parlamentsposition und endgültiger Annahme rund neun Monate.

Immerhin einigten sich EU-Parlament, Kommission und Rat vergangene Woche noch einmal offiziell darauf, den Digitalen Euro mit höherer Priorität zu behandeln und den Gesetzesprozess noch in diesem Jahr abzuschließen. Wie lange die Verhandlungen aber am Ende tatsächlich dauern werden, hängt maßgeblich davon ab, was das Parlament demnächst beschließt und wie sehr sich seine Position von der des Rates unterscheidet. Sollten die Position weit auseinanderliegen, werde es überaus schwierig, die gesetzte Frist bis zum Jahresende noch einzuhalten, heißt es in Brüssel.

Im Linux-Kernel haben IT-Forscher eine Schwachstelle entdeckt, die Angreifer zum Erlangen von root-Rechten missbrauchen können. Die Entdecker haben die Schwachstelle „Copy Fail“ getauft. Eigentlich alle Linux-Distributionen, die seit 2017 verfügbar sind, sollen davon betroffen sein.

Das schreiben die IT-Forscher in einem Blog-Beitrag, der Bericht ist ihnen jedoch sogar eine eigene Domain wert. Die Lücke haben sie offenbar mit dem KI-Werkzeug Xint Code aufgespürt. Es handelt sich um einen Logikfehler, der lokalen Nutzern im System ermöglicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuführen. Mit einem Python-Skript von 732 Byte Größe gelingt es den Forschern, eine Binärdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen (CVE-2026-31431, CVSS 7.8, Risiko „hoch“).

Die IT-Sicherheitsforscher führen weiter aus, dass der Kernel die manipulierte Page nicht als „Dirty“ zum Rückschreiben aufs Laufwerk markiert, sodass die Datei unverändert bleibt und einfache Checksummen-Prüfungen von der Manipulation nichts mitbekommen. Beim tatsächlichen Dateizugriff erfolgt jedoch der Rückgriff auf den Page-Cache. Damit lassen sich zudem Container-Grenzen sprengen, da der Page-Cache auf dem Host geteilt wird. Konkret kündigen die IT-Forscher an, weitere Details zu veröffentlichen, die den Ausbruch aus Kubernetes-Containern erörtern.

Fehler im Krypto-Subsystem

Der Fund sei zwar KI-unterstützt gewesen, basierte aber auf Untersuchungen der Interaktion des Linux-Krypto-Subsystems mit Page-Cache-Daten. Interessierte finden sehr tiefgehende Details im Blog-Beitrag. Dort stellen die Programmierer auch einen Proof-of-Concept-Exploit vor. Das Python-Skript ist 732 Byte groß und verschafft lokalen Angreifern root-Rechte etwa unter Ubuntu 24.04 LTS mit Kernel 6.17.0-1007-aws, Amazon Linux 2023 mit Kernel 6.18.8-9.213.amzn2023, RHEL 10.1 und Kernel 6.12.0-124.45.1.el10_1 sowie SUSE 16 mit Kernel 6.12.0-160000.9-default. Zumindest haben die Entdecker der Schwachstelle diese Kombinationen erfolgreich getestet.

Einen Fix für den Kernel-Quellcode stellen die IT-Forscher ebenfalls bereit. Aktualisierte Kernel sollten inzwischen die größeren Distributionen bereitstellen. Als temporäre Gegenmaßnahme soll demnach aber helfen, AF_ALG-Socket-Erstellung über seccomp zu blockieren oder aber als algif_aead-Modul in die Blacklist aufzunehmen, sodass der Kernel es nicht lädt: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf rmmod algif_aead 2>/dev/null im Terminal erledigt das.

Es ist erst wenige Tage her, da hat die Telekom mittels KI die Schwachstelle „Pack2TheRoot“ im Linux-Kernel aufgespürt. Auch hierbei handelt es sich um eine Rechteausweitungslücke, die sich in mehreren Linux-Distributionen in den Standardkonfigurationen ausnutzen ließ.

(dmk)