Start a new topic

Java security issue


Okay, a heavy discussion there ...


Man hat Dich also schon als "Depp ohne Ahnung" tituliert? Hast Du schon mal daran gedacht, dass da vielleicht was dran ist?

Heise hat hier eine komplett lächerliche Darstellung eines nicht besonders wichtigen Bugs von sich gegeben. Dir fehlt wahrscheinlich das Know-How um den original Artikel zu verstehen...

Oder hast Du diesen etwa nicht gelesen?

Das wirkliche Problem dahinter ist, dass aktives FTP gefährlich sein kann. Das ist keine neue Erkenntnis sondern seit min. 15 Jahren bekannt. Der genannte Bug erlaubt es einfach nur eine aktive FTP Session zu imitieren, so dass ein manipulierter FTP Server eine direkte Verbindung durch eine falsch konfigurierte Firewall zu einem internen Rechner aufbauen kann. Das war's schon.

Man kann sich davor auch sehr einfach schützen, indem man aktives FTP an der Firewall deaktiviert.

Da es sowieso eine Sicherheitslücke ist (was wie ich schon sagte seit min. 15 Jahren bekannt ist) sollte es halt einfach nur nicht per Default auf irgendwelchen Firewall Appliance aktiviert sein. Wer aber so ein Firewall-Kästchen in Default-Konfi betreibt, dem ist sowieso nicht zu helfen...

___

PS: Soll ich mal nachschauen, ob der gleiche Fehler auch im Mist PHP drin ist? Da könnte man schon mal Wetten abschließen. ;-)

The coffee won't be drunk as hot as it's being served, as we Dutchees use to say.

CafeTran does not perform any FTP-based connections.

Login to post a comment