Mehrere Schwachstellen in Ciscos IOS-FTP-Server
Der Hersteller warnt, dass der in IOS integrierte FTP-Server mehrere Schwachstellen enthält, durch die unautorisierte Nutzer beliebigen Code ausführen, Informationen auslesen oder einen Denial-of-Service ausführen können.
Der Netzwerkausrüster Cisco warnt in einer Sicherheitsmeldung, dass der in IOS integrierte FTP-Server mehrere Schwachstellen enthält. Angreifer können dadurch beliebigen Code ausführen, Informationen auslesen oder einen Denial-of-Service ausführen.
Cisco erläutert die Fehler der Software nicht im Detail, gibt aber Auskunft über die Auswirkungen: So überprüft der FTP-Server von IOS die Anmeldedaten von Nutzern nicht korrekt. Dadurch können Angreifer beliebige Dateien auf dem Server auslesen oder schreiben, etwa die Konfigurationsdateien – die möglicherweise auch Zugangspasswörter enthalten; es sei dadurch auch möglich, fremden Code auszuführen. Bei Dateitransfers kann das Betriebssystem unvermittelt neu starten, was Angreifer zu einem Denial-of-Service missbrauchen können.
Der FTP-Server ist in der Standardkonfiguration nicht aktiv, jedoch nutzen ihn manche Administratoren etwa zum Einspielen neuer Regelwerke. Der Hersteller hat aktualisierte Software veröffentlicht, die den FTP-Server schlicht entfernt. Zu einem späteren Zeitpunkt soll eine sicherere Variante der Software wieder hinzukommen. Wer das Update nicht einspielen kann, sollte der Sicherheitsmeldung zufolge den FTP-Server deaktivieren.
Siehe dazu auch:
- Multiple Vulnerabilities in the IOS FTP Server, Sicherheitsmeldung von Cisco
(dmk)
