FTP-sårbarhed i Java og Python giver adgang gennem firewalls
Af Torben B. Sørensen, 21/02/17
I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.
Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.
Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.
Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.
Dansk