[English]Kurzer Hinweis an Nutzer, die CrushFTP verwenden. Ein Blog-Leser hat mich darüber informiert, dass dort eine gravierende Schwachstelle entdeckt worden sei (öffentlich gemacht am 11. November 2024). Es gibt aber Updates, bei denen diese Schwachstelle, für die noch kein CVE zu existieren scheint, geschlossen wird.
Was macht CrushFTP?
CrushFTP ist ein proprietärer Multiprotokoll- und Multiplattform-Datei-Übertragungs-Server, der ursprünglich 1999 entwickelt wurde. CrushFTP ist Shareware mit einem abgestuften Preismodell und richtet sich an Heim- und Unternehmensanwender.
CrushFTP unterstützt die Protokolle: FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. Die Software verwendet eine grafische Benutzeroberfläche zur Verwaltung, lässt sich aber auch als Daemon unter Mac OS X, Linux, Unix und als Dienst unter Windows installieren.
Schwachstelle in CrushFTP
Dennis F. hat mich die Woche per Mail kontaktiert und darauf hingewiesen, dass es wohl eine gravierende Schwachstelle in CrushFTP entdeckt und am 11.11.2024 öffentlich gemacht wurde (danke dafür). Ältere Versionen der Software sind sind anfällig für einen E-Mail-Exploit zum Zurücksetzen des Passworts. Wenn ein Endbenutzer auf den Link klickt, wird sein Konto kompromittiert.
Auf der Webseite des Anbieters heißt es, dass alle Versionen von CrushFTP v10 unterhalb von Version 10.8.3 sowie von CrushFTP v11 unterhalb von Version 11.2.3 betroffen seien. Die Schwachstelle ist in folgenden Versionen beseitigt:
- CrushFTP v10.8.3+
- CrushFTP v11.2.3+
Auf der CrushFTP-Webseite sind die Update-Schritte beschrieben. Nach dem Update müssen die erlaubten URL-Domänen für das Zurücksetzen per E-Mail konfiguriert werden.