{"id":306155,"date":"2024-11-15T22:45:48","date_gmt":"2024-11-15T21:45:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306155"},"modified":"2024-11-15T22:54:26","modified_gmt":"2024-11-15T21:54:26","slug":"schwachstelle-in-crushftp-aktualisieren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/15\/schwachstelle-in-crushftp-aktualisieren\/","title":{"rendered":"Schwachstelle in CrushFTP; aktualisieren"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/11\/15\/vulnerability-in-crushftp-update-recommended\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurzer Hinweis an Nutzer, die CrushFTP verwenden. Ein Blog-Leser hat mich dar\u00fcber informiert, dass dort eine gravierende Schwachstelle entdeckt worden sei (\u00f6ffentlich gemacht am 11. November 2024). Es gibt aber Updates, bei denen diese Schwachstelle, f\u00fcr die noch kein CVE zu existieren scheint, geschlossen wird.<\/p>\n<p><!--more--><\/p>\n<h2>Was macht CrushFTP?<\/h2>\n<p><a href=\"https:\/\/en.wikipedia.org\/wiki\/CrushFTP_Server\" target=\"_blank\" rel=\"noopener\">CrushFTP\u00a0<\/a>ist ein propriet\u00e4rer Multiprotokoll- und Multiplattform-Datei-\u00dcbertragungs-Server, der urspr\u00fcnglich 1999 entwickelt wurde. CrushFTP ist Shareware mit einem abgestuften Preismodell und richtet sich an Heim- und Unternehmensanwender.<\/p>\n<p>CrushFTP unterst\u00fctzt die Protokolle: FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. Die Software\u00a0verwendet eine grafische Benutzeroberfl\u00e4che zur Verwaltung, l\u00e4sst sich aber auch als Daemon unter Mac OS X, Linux, Unix und als Dienst unter Windows installieren.<\/p>\n<h2>Schwachstelle in CrushFTP<\/h2>\n<p>Dennis F. hat mich die Woche per Mail kontaktiert und darauf hingewiesen, dass es wohl eine gravierende Schwachstelle in CrushFTP entdeckt und am 11.11.2024 \u00f6ffentlich gemacht wurde (danke daf\u00fcr). \u00c4ltere Versionen der Software sind sind anf\u00e4llig f\u00fcr einen E-Mail-Exploit zum Zur\u00fccksetzen des Passworts. Wenn ein Endbenutzer auf den Link klickt, wird sein Konto kompromittiert.<\/p>\n<p>Auf der <a href=\"https:\/\/www.crushftp.com\/crush11wiki\/Wiki.jsp?page=Update\" target=\"_blank\" rel=\"noopener\">Webseite<\/a> des Anbieters hei\u00dft es, dass alle Versionen von CrushFTP v10 unterhalb von Version 10.8.3 sowie von CrushFTP v11 unterhalb von Version 11.2.3\u00a0betroffen seien.\u00a0Die Schwachstelle ist in folgenden Versionen beseitigt:<\/p>\n<ul>\n<li>CrushFTP v10.8.3+<\/li>\n<li>CrushFTP v11.2.3+<\/li>\n<\/ul>\n<p>Auf der <a href=\"https:\/\/www.crushftp.com\/crush11wiki\/Wiki.jsp?page=Update\" target=\"_blank\" rel=\"noopener\">CrushFTP-Webseite<\/a> sind die Update-Schritte beschrieben. Nach dem Update m\u00fcssen die erlaubten URL-Dom\u00e4nen f\u00fcr das Zur\u00fccksetzen per E-Mail konfiguriert werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurzer Hinweis an Nutzer, die CrushFTP verwenden. Ein Blog-Leser hat mich dar\u00fcber informiert, dass dort eine gravierende Schwachstelle entdeckt worden sei (\u00f6ffentlich gemacht am 11. November 2024). Es gibt aber Updates, bei denen diese Schwachstelle, f\u00fcr die noch kein CVE &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/11\/15\/schwachstelle-in-crushftp-aktualisieren\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-306155","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306155"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306155\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}