ProFTPD: Codeschmuggel durch mod_sql möglich

Eine Schwachstelle im FTP-Server ProFTPD kann zur Ausführung eingeschleusten Schadcodes führen. Das Sicherheitsleck findet sich im mitgelieferten mod_sql. Ein Proof-of-Concept-Exploit ist bereits verfügbar.

Laut der Schwachstellenbeschreibung ist mod_sql von ProFTPD vor der Version 1.3.10rc1 von der Sicherheitslücke betroffen. Durch den übertragenen Nutzernamen können bösartige Akteure aus dem Netz ohne vorherige Anmeldung beliebige SQL-Befehle und Schadcode einschleusen. Das gelingt in Szenarien, die USER-Anfragen mit Erweiterungen wie „%U“ loggen und in denen das SQL-Backend Befehle zulässt, beispielsweise „COPY TO PROGRAM“ (CVE-2026-42167, CVSS 8.1, Risiko „hoch“).

Aktualisierte Software

ProFTPD 1.3.10rc1 ist am Montag erschienen und schließt die Sicherheitslücke, wie die Release-Notizen anzeigen. Die Entwickler haben zudem einen Backport des Sicherheitsfixes programmiert, ProFTPD 1.3.9a stopft das Sicherheitsleck ebenfalls.

Welche Systeme konkret betroffen sind, ist jedoch unklar. Einige große Distributionen wie Ubuntu bieten das mod_sql für ProFTPD als zusätzliches Installationspaket an, es kommt in der Standardinstallation also nicht unbedingt mit. Admins sollten daher prüfen, ob sie das mod_sql etwa für Logging in Datenbanken überhaupt einsetzen.

Die Internet-Dienst-Datenbank Shodan listet aktuell rund 690.000 ProFTPD-Instanzen weltweit. Die meisten davon, über 133.000, laufen in Deutschland, erst an zweiter Stelle folgen die USA.

ProFTPD ist bereits lange stabil, größere Sicherheitslücken finden sich nur noch selten darin. Etwa Ende November 2024 wurde aber etwa eine Rechteausweitungslücke in ProFTPD entdeckt. Auch damals war das mod_sql Auslöser für die Sicherheitswarnung. Wurde mod_sql in ProFTPD genutzt, ermöglichte das unberechtigten Zugriff auf Dateien und Ordner mit Root-Gruppenrechten (GID 0).

(dmk)