Na 8 maanden eindelijk patch voor wu-FTP security bug

Op de wu-FTP site is een patch verschenen voor de security bug in de wu-FTP server software. Deze FTP server wordt vooral gebruikt op Redhat systemen. Door de bug kan iemand met slechte bedoelingen root access krijgen op het systeem. De bug was al in April ontdekt door Core-ST group en gemeld aan de opensource group en aan diverse bedrijven, maar er werd besloten om het lek stil te houden, zodat in alle stilte aan een patch gewerkt kon worden.

De Washington University wu-FTP development group had inmiddels al een patch klaar en was van plan om die volgende week te publiceren met een beschrijving van de bug, maar Redhat gooide roet in het eten door zelf een patch uit te brengen, waardoor in allerijl de developers hun patch online moesten zetten. Security specialisten vragen zich af waarom een oplossing van het probleem zo lang op zich heeft moeten laten wachten.

"It should not have taken this long," said Paul McNabb, senior vice president and chief technology officer at Argus Systems. "This could have been done in a matter of days. Sometimes people do take weeks to prepare a patch and get it through the system, so to speak, but it just seems incredibly long."

De patch is hier te vinden. Met dank aan Anoniem: 28675 voor de tip.

Reacties (43)

Anoniem: 5082 1 december 2001 00:09

Kan iemand hier mij uitleggen wat Wuftp met linux te maken heeft ?.

Ik hoor hier iemand over meer bugs in linux maar dat snap ik niet. Ik dacht dat het juist een foutieve keuze was van redhat om wuftp te gebruiken. Maar ik zie totaal het verband niet tussen wuftp en linux ?

Anoniem: 4632 @Anoniem: 5082 • 1 december 2001 00:22

Je hebt gelijk. wu-FTP is een UNIX ftp-server die ook op Linux systemen draait (ook een unix variant/kloon")

De meeste mensen hebben geen idee wat Linux precies is en lullen maar wat. Irritant...

SvMp @Anoniem: 5082 • 1 december 2001 00:30

Is er ook niet.

Alleen de meeste mensen - die er (sorry dat ik het zeg) de ballen verstand van hebben - noemen alles dat met Unix open source te maken heeft Linux. Zo worden de projecten KDE en Gnome ook voortdurend onlosmakelijk met Linux verbonden, terwijl dat onzin is.

Gevolg: Een bug in een server als Wu-FTPd maakt dat iedereen meteen over Linux begint te schreeuwen. Wu-FTPd is net zoals zoveel anderen (bv ProFTPd) een open source ftp-server voor unices. Daar hoort Linux ook bij. Maar het heeft niks met Linux-community te maken

Als je het toch op enige wijze met Linux wilt verbinden, zou je kunnen opmerken dat wuftpd in veel Linux distro's wordt gebruikt als standaard-ftp-server en dat grote bedrijven (zoals RedHat) eerder iets aan dit security probleem hadden moeten doen.
De andere kant: Iedereen weet dat Linux geen Windows of Netware is, en dat er onvermijdelijk geknutseld dient te worden. Iedere beheerder kan zelf ingrijpen: 1. Andere ftp-server,zoals proftpd, gebruiken. 2. Pluk wuftpd van CVS, waar patches in een vroeg stadium verschijnen.

Ik zie dus niet in waarom men zich zo druk maakt. je hebt bij Linux de touwtjes zelf in handen, jij als beheerder bent verantwoordelijk voor jouw servers, niet de bedrijven. Als je dat niet door hebt, kun je beter geen Linux beheerder worden, maar kun je beter gaan beginnen aan commerciele alternatieven als Windows, Netware of Solaris.
Bovendien: Het is onder de Unix-mensen algemeen bekend dat BSD's zich beter lenen als server, maar ook daar zal natuurlijk het wuftpd-probleem bestaan. Met andere woorden: Het is geen probleem van een OS, maar van een stukje software.

Rukapul @SvMp • 1 december 2001 09:48

Bovendien: Het is onder de Unix-mensen algemeen bekend dat BSD's zich beter lenen als server, maar ook daar zal natuurlijk het wuftpd-probleem bestaan. Met andere woorden: Het is geen probleem van een OS, maar van een stukje software.

Hoho. wuFTP is een afsplitsing van ftpd die bij BSD geleverd wordt. De fout zit echter bij de uitbreidingen van wu. Standaard hebben BSD systemen er dus geen last van en zelfs als wuFTP uit de ports collection wordt geinstalleerd dan schijnt het niet direct tot root access te leiden (wel tot een crash van ftpd).

BSD loopt wellicht zo af en toe achter in nieuwe features, maar het is wel veilig en stabiel (vergeleken met Linux). Tenslotte jatten die linux developpers hun fancy features ook maar uit BSD (zie ATA 100 support).

DeuTeRiuM @Rukapul • 1 december 2001 10:58

Jatten.. Mooi toch? Dat heet opensource

Bovendien ben ik het er niet helemaal mee eens met BSD dat beter zou lopen als server. Het KAN beter lopen. En lang niet altijd. Dat ligt volledig aan de beheerder, de ports en wat voor servers je wil draaien.
Voor uitgebreide toepassingen, is vaak linux een betere uitkomst.
Bovendien, wat versta je onder beter lopen? Sneller? Veiliger?
Sneller ligt er aan, veiliger.. jails doen wonderen

BTW, proftp...

Anoniem: 18254 @Rukapul • 1 december 2001 16:55

Het leuke is alleen dat een chroot jail weinig zin heeft voor daemons die als root draaien (die kunnen er namelijk relatief makkelijk uitbreken), bovendien kan niet alles chrooted draaien.

serkoon @Rukapul • 1 december 2001 20:53

chroot jail != jail

Een jail() is een virtuele machine binnen het OS. Er is vast wel uit te breken, maar dat gaat je wel wat moeite kosten, nog meer dan om uit een chroot() te komen.

DeuTeRiuM @Rukapul • 1 december 2001 17:57

eh, ik kan ff dom denken doordat grolsch zo lekker was vanacht.. maar een ftp daemon draai je toch niet als root?
Ik iig niet.. Ik als nobody.nobody..

ErectionJackson @Anoniem: 5082 • 1 december 2001 10:40

Ja, maar je hoort mensen toch ook zo over Windows NT/2000 zeuren als er een bug zit in IIS? Mensen vinden dit soort berichten al heel snel sensatie. En dat zijn idd de mensen die er niet al te veel verstand van hebben. Hoe moet je hiermee omgaan? Gewoon negeren.

Anoniem: 10256 @ErectionJackson • 1 december 2001 16:30

Ja, maar je hoort mensen toch ook zo over Windows NT/2000 zeuren als er een bug zit in IIS?

dat is ook van de zelfde fabrikant, en hget is in praktijk ook de enige webserver die gebruikt wordt op win32.

wu-ftp is van een andere groep dan Linux, en sommige (lang niet eens alle, Debian heeft bijvoorbeeld proftp standaard) distributies nemen het op in hun collectie. Is het dan een Linux bug?

als dat een Linux bug is, dan is elke bug van elk windows programma een windows bug.

Anoniem: 18254 @Anoniem: 10256 • 1 december 2001 16:57

Idd. Je kunt ook apache draaien, maar die is zo brak in vergelijking met de Linux/UNIX versie dat je dan beter meteen Linux kunt gebruiken...

Anoniem: 2551 1 december 2001 09:00

Erg fout van een software producent dat een patch 8 maanden op zich laat wachten. Helemaal vreemd is de opmerking dat RedHat de publicatie nog versneld heeft, anders had het nog een week geduurd.

Overigens was er enige tijd geleden veel heisa over het feit dat een niet-bij-naam-te-noemen software producent voortaan security leaks geheim wilde houden. De producent van wuFTP heeft hetzelfde gedaan en geruime tijd uitgetrokken om de patch te ontwikkelen.

Mogen we hier uit afleiden dat het openbaar maken van leaks een goede zaak is, omdat hierdoor de druk op het snel uitbrengen van een patch aanwezig is? Mogen we zeggen dat het geheimhouden om 'in alle rust' een patch te ontwikkelen dus slecht is?

* 786562 sepans

RG @Anoniem: 2551 • 1 december 2001 18:38

Die bug was volgens mij helemaal niet geheim, magoed. Bug geheim houden is sowieso erg dom, ant als iemand er toch achter komt en een worm/virus bakt ben je de sjaak en dan moet het bedrijf nog eerst een fix gaan maken...

Wu-ftp wordt trouwens niet door een bedrijf ontwikkeld, maar op een universiteit en dat is dus extra "triest".

DAzN 30 november 2001 23:39

Deze bug was voor mij een van de redenen om juist geen Wu-FTP te gebruiken. Ook mijn werkgever heb ik geadviseerd om Proftpd te gebruiken wegens deze bug. Dit bericht moedigt mij niet aan om Wu-FTP weer te gebruiken. Deze manier van handelen is een slechte zaak. Vooral omdat er meer bedrijven komen die denken dat, door security-bugs stil te houden, het beter is dan mensen de gelegeheid te geven misbruik te maken.

Nogmaals, een slechte zaak. Iets wat ik niet had verwacht van een open-source bedrijf.

The Source @DAzN • 1 december 2001 01:03

Deze bug was voor mij een van de redenen om juist geen Wu-FTP te gebruiken.

Deze bug is ontdekt in april 2001 en stil gehouden, jij wist er dus niet van! Hoe kun jij iemand adviseren op basis van dingen die je niet weet?

Nogmaals, een slechte zaak. Iets wat ik niet had verwacht van een open-source bedrijf..

Open-source bedrijf? Welk bedrijf bedoel je hiermee nu eigenlijk? De open source communicty, Redhat, Washington University of wat?

paulh @The Source • 1 december 2001 12:31

Deze bug is ontdekt in april 2001 en stil gehouden, jij wist er dus niet van! Hoe kun jij iemand adviseren op basis van dingen die je niet weet?

Misschien niet deze bug. Maar ik wordt al jaren aangeraden geen WU-ftp te gebruiken. Blijkbaar is de reputatie van WU al niet al te best.

TheOneLLama @The Source • 1 december 2001 14:29

Waar haal je dat nou weer vandaan? Deze bug is helemaal niet stil gehouden.. het was iets van, de server crashed als je een of andere maffe filename gebruikt }/ ofzo. Men dacht dat dat alles was wat er mee kon en heeft er dus maar geen fix voor geschreven..

Anoniem: 10476 1 december 2001 00:12

Dit is eigenlijk heel akelig. Hiermee is aangetoond dat de Linux community security bugs nog langer geheim weet te houden als MS. En dit terwijl MS dit constant verweten wordt. De pot en de ketel.
Hoeveel lekken zitten er nog "under the hat" in de software die ik gebruik ? Oa. deze bedrijven waren op de hoogte Red Hat, SuSE, Caldera International, Turbolinux, Connectiva, Cobalt Networks, MandrakeSoft and Wirex en deden dus NIETS.

Ze hadden dus minstens de geregistreerde gebruikers kunnen mailen zodat je zelf maatregelen kan nemen.

Bron:
http://news.cnet.com/news/0-1003-200-8007615. html?ta g=ch_mh

RG @Anoniem: 10476 • 1 december 2001 00:38

Wat heeft een FTP server nu te maken met de Linux community?? Volgens mij leveren veel distributies al tijden niet meer wu-ftp. Das sowieso een van de meest brakke FTP servers die er bestaat qua security, das algemeen bekend, vandaar ook dat distros als Slackware standaard ProFTPD meeleveren. Ik denk ook niet dat er veel serieuze FTP servers op zullen draaien, dat is vrijwel allemaal ProFTPD of een andere goede FTP server...

Anoniem: 4632 @RG • 1 december 2001 00:45

Ik schreef net nog:

"Je hebt gelijk. wu-FTP is een UNIX ftp-server die ook op Linux systemen draait (ook een unix variant/kloon")

De meeste mensen hebben geen idee wat Linux precies is en lullen maar wat. Irritant..."

Deze Leo Liekens is ook zo iemand. Wel de klok, weer niet de klepel.

En deze opmerking slaat werkelijke HELEMAAL nergens op:

"Hiermee is aangetoond dat de Linux community security bugs nog langer geheim weet te houden als MS"

Doe je huiswerk beter of zeg gewoon niks...

Spais @Anoniem: 4632 • 1 december 2001 02:22

Of wu nu Unix of Linux is niet zo belangrijk. Het wordt met deze Linux distributie's verspreid.
Als iemand software verspreid en op de hoogte is van een belangrijk veiligheidslek dient hij zijn gebruikers op de hoogte te stellen. Dit is in mijn ogen een morele verplichting.

Hoe weet jij of de linux distro's van deze bug afwisten dan? Jij maakt een foute redenatie. De fout ligt bij de developers van wu..

(En t is sowieso een stom om nog steeds wuftpd mee te leveren met een distro met de geschiedenis die ze hebben.. Go redhat!

)

Anoniem: 10476 @Anoniem: 4632 • 1 december 2001 01:11

Of wu nu Unix of Linux is niet zo belangrijk. Het wordt met deze Linux distributie's verspreid.
Als iemand software verspreid en op de hoogte is van een belangrijk veiligheidslek dient hij zijn gebruikers op de hoogte te stellen. Dit is in mijn ogen een morele verplichting.
Hiervoor registreer ik me ook. Ik kan zelf beslissen of ik de FTP down neem of het risico neem en op de patch wacht.

Omdat ik weer eens flink teleurgesteld ben in de mentaliteit van een aantal bedrijven druk ik me misschien wat te pissig uit. Excusez.

BrammeS @Anoniem: 4632 • 1 december 2001 09:01

De meeste mensen hebben geen idee wat Linux precies is en lullen maar wat. Irritant...

Er wordt in het stukje alleen genoemd dat wuFTP veel op redhat systeemen wordt gebruikt. Het hele woordt Linux komt in het stukje niet voor notabene. Dus Het is onnodig om zo maar weer te gaan rondbazuinen dat jij er wel een idee van hebt wat linux is.

Anoniem: 4632 @Anoniem: 4632 • 1 december 2001 10:52

Dat was als reactie aan mensen die over Linux begonnen te blaten. Niet op het artikel

Anoniem: 18254 @Anoniem: 4632 • 1 december 2001 17:02

Of wu nu Unix of Linux is niet zo belangrijk. Het wordt met deze Linux distributie's verspreid.

Het probleem is dat jij de hele "Linux community" (welke in feite niet bestaat, Linux is nl. alleen een kernel) over een kam scheert. Dat r00t hat zo brak is om wuftpd mee te leveren betekent nog niet dat je daarom Linux af moet gaan zeiken. Debian bijvoorbeeld gebruikt ten eerste geen wuftpd en doet ten tweede niet mee aan geheimhoudingspraktijken.

EfBe 1 december 2001 11:47

Dit geeft maar weer aan dat het gel*l van Open Source Zealots dat bij OSS bugs en security leaks veel sneller zijn gepatcht, overtrokken is: net als bij closed souce software kan het gewoon lang duren.

Anoniem: 2551 @EfBe • 1 december 2001 12:21

De Open Source projecten zijn in theorie allemaal te controleren. Maar in de praktijk zijn er gewoon teveel projecten met teveel source om dit te doen.

Gel*l is het zeker niet, er komen binnen het Open Source systeem veel sneller problemen naar voren, maar niet alle problemen. Je kan dus volgens * 786562 sepans

RG @EfBe • 1 december 2001 18:44

Dat vind ik wel meevallen. Dit is slechts 1 geval. En bovendien moet je ook niet gaan zeuren als open source software iets niet goed doet of een fout bevat, want het is allemaal vrij toegankelijk en je koopt het niet. Van een bedrijf waarmee je een contract hebt mag je verwachten dat ze binnen afzienbare tijd een patch hebben en dat ze dus een goed product leveren (whatever er ook in de licensie moge staan).

Anoniem: 3226 @RG • 1 december 2001 23:11

precies de reden waarom je dan maar beter geen linux, bsd etc kan gebruiken. Als het inderdaad op basis van zo'n relatie werkt heb ik liever wel een bedrijf als leverancier

Anoniem: 27182 1 december 2001 10:38

Hmz...

Jeroen w, ik denk dat je deze bug verward met de site exec bug of nog ouder want als ze dit in feb al gelukt is zou dat betekenen dat er mensen rondlopen met exploits die in staat zijn om bugs te exploiten die > 9 maanden onbekend zijn gebleven.

En dat een primeur zijn vooral voor een bluder van dit formaat. Ik denk dus dat je hier 2 dingen door elkaar haalt.

En verder lees ik nog iets van svmp die een flamewar wil beginnen door te zeggen dat BSD beter is

Ik laat me er niet over uit maar als je /. volgt was er 2 weken geleden een mooi stuk over BSD vs. linux 2.4. Lees dat maar en merk dat de verschillen weg zijn.

Verder zeg je nog iets over BSD en linux en code jatten, hier zijn 2 dingen voor te zeggen. 1) het werkt ook de andere kant op 2) het mag van de licence

Verder gebruik ik al een tijd wu niet meer vanwege de problemen errond . Proftpd is IHMO beter .

En het feit dat die bug nu al uit is is een gelukje dit komt omdat er nu een gesloten mailinglist is voor security bugs die alleen voor fabrikanten zichtbaar is.

jp @Anoniem: 27182 • 1 december 2001 11:15

Code gebruiken mag je volgens de licence.

Code jatten (dus de source van een ander gebruiken, die naam niet vermelden, maar in plaats daarvan je eign naam) mag niet.

Ik dacht dat bij dat ATA100 gebeuren er code gejat was, ipv dat er netjes de oorspronkelijke auteur bij vermeld wordt.

En dat mag dus niet, of is op zijn minst erg onbeschoft.

silentsnow 30 november 2001 23:36

Flink balen voor die gasten van Washington University.

ennuh:
Security specialisten vragen zich af waarom een oplossing van het probleem zo lang op zich heeft moeten laten wachtenp
Volgens mij konden ze zo al die studenten tenminste bezig houden

Anoniem: 39489 1 december 2001 10:03

Met deze bug zijn ze dus begin februrari mijn RedHat 6.1 systeem binnengekomen en een rootkit geinstalleerd.

Ik kon bewijzen dat het aan wu-ftpd lag, en heb ook hier en daar geinformeerd naar mogelijke security leaks in wu-ftpd, maar iedereen ontkende dat er een nieuw security leak was ontdekt.

Gelukkig was ik er binnen een paar uur achter en is mijn machine niet voor een DoS attack gebruikt, maar toch. Je bent gewoon een paar dagen bezig om zo'n systeem weer vanaf scratch in de lucht te krijgen.

Kennelijk helpt het niet om bij wu-ftpd de laatste security patches te hebben staan (ik doe een wekelijkse scan van de messages op een aantal security sites, en pas daaraan mijn systemen aan).

Voor mij een reden (ook gezien het wu-ftpd verleden) om over te stappen op andere een andere ftpd. Sterker nog: de meeste systemen hebben niet eens een ftpd meer draaien.

Ben inmiddels ook bijna helemaal afgestapt van RedHat en over op SuSE. Die komen voor mijn gevoel toch iets serieuzer over met het reageren op security issues.

mOrPhie 30 november 2001 23:35

Zozo, da's goed nieuws. Hoewel ik toch het idee krijg dat ook voor software voor unixsystemen (voornamelijk linux) steeds meer security-bugs binnenwandelen. Dit heeft naar mijn idee te maken met de stijgende populariteit.

WaarAnders @mOrPhie • 30 november 2001 23:36

Hoe bedoel je dat? Dat meer mensen op bugs gaan jagen?

dirkpostma @mOrPhie • 30 november 2001 23:38

steeds meer security-bugs binnenwandelen

Kleine correctie: steeds meer meldingen van security-bugs, inderdaad, zoals je aangeeft, door de stijgende populariteit

Anoniem: 10256 @mOrPhie • 1 december 2001 14:01

Hoewel ik toch het idee krijg dat ook voor software voor unixsystemen (voornamelijk linux) steeds meer security-bugs binnenwandelen.

mja voor dit soort voor-oorlogse software vind ik dat ook niet gek dat er bugs worden gevonden. Volgens mij is dit een server uit 1980 of zo.

Ik snap ook niet wie deze ftp server nog gebruikt, proftp, beroftp en nog zo een aantal zijn stuk voor stuk zo veel beter...

Maar wu-ftp heeft het nu toch echt afgedaan, hij kan al veel minder dan alle anderen, en hij is langzamer, maar dan ook nog eens 8 maanden over een patch doen?!? Wie neemt de software van WUftp nou nog serieus?

Cansu 30 november 2001 23:36

Vaag verhaal zeg. Waarom wacht men zolang als het in een paar dagen gedaan had kunnen zijn? Om zo ff in Afgaanse Linux bakken te hakken?

silentsnow @Cansu • 30 november 2001 23:37

Ik las ergens dat er in heel Afganistan maar 1 Internetverbingding is...

dualspeed @silentsnow • 1 december 2001 00:07

dat was idd zo, toen de taliban nog volop aan de macht waren. ergens begin deze zomer is in het nieuws geweest dat alle internetverbindingen verboden werden/waren door het taliban-regime. op een na natuurlijk....

bizar land moet dat zijn (geweest)... al die rare regels,

TumbleCow @Cansu • 1 december 2001 12:43

Het is inderdaad een zeer kwalijke zaak dat ze een root-exploit zo lang laten zitten!,
Redhat is toch een vrij veel gebruikte distro.

Hiermee doen ze hetzelfde idee aan dan microsoft met hun idee om security-leaks niet in de openbaarheid te brengen.

Op dit item kan niet meer gereageerd worden.

Na 8 maanden eindelijk patch voor wu-FTP security bug

Lees meer

Reacties (43)

Sorteer op:

Weergave: