Der Hersteller Progress hat eine aktualisierte Version von WS_FTP herausgegeben. Darin schließen die Entwickler eine Sicherheitslücke, die Angreifern Cross-Site-Scripting-Attacken ermöglicht. Anzeige In der Sicherheitswarnung schreiben die Programmierer, dass mehrere "Reflected Cross-Site-Scripting"-Probleme in diversen von Benutzern übergebenen Daten in der Software gefunden wurden. Sie alle betreffen die administrative Bedienoberfläche des WS_FTP-Servers (CVE-2024-1474, CVSS 7.5, Risiko "hoch"). WS_FTP: Betroffene Versionen Betroffen sind WS_FTP-Versionen bis einschließlich 2022.0.4 (8.8.4). Die Aktualisierung auf das Februar-Servicepack hievt den Server auf Versionsstand 2022.0.5 (8.8.5) und korrigiert die sicherheitsrelevanten Fehler. Wer WS_FTP 2020.0.x (8.7.x) oder ältere Fassungen einsetzt, muss auf aktuell unterstützte Versionen aktualisieren. Die alten Versionen sind bereits aus dem Support gefallen. Sie sind zwar in der vom Hersteller so genannten "Sunset-Phase" angelangt, aber Software-Updates gibt es dafür nicht mehr. Eine Tabelle auf der Produkt-Lebenszyklus-Webseite erläutert, welche Versionen noch Unterstützung erhalten. Das Update steht nach dem Log-in im Download-Center von Progress zum Herunterladen bereit. Dort sollte WS_FTP unter dem "My Active"-Tab auftauchen. Die Download-Links befinden sich dort unter "Related Products & Downloads", erklärt Progress in der Sicherheitsmitteilung. In WS_FTP muss Hersteller Progress häufiger Sicherheitslecks abdichten. Im November konnten Angreifer eine Schwachstelle in WS_FTP missbrauchen, um Dateien an beliebige Stellen des Dateisystems hochzuladen. Cyberkriminelle nutzen Sicherheitslecks in der Software auch tatsächlich für Angriffe mit Ransomware aus, wie etwa im vergangenen Oktober bekannt wurde. (dmk) Zur Startseite WS_FTP: Updates dichten hochriskante Sicherheitslücke ab
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Der Hersteller Progress hat eine aktualisierte Version von WS_FTP herausgegeben. Darin schließen die Entwickler eine Sicherheitslücke, die Angreifern Cross-Site-Scripting-Attacken ermöglicht. Anzeige In der Sicherheitswarnung schreiben die Programmierer, dass mehrere "Reflected Cross-Site-Scripting"-Probleme in diversen von Benutzern übergebenen Daten in der Software gefunden wurden. Sie alle betreffen die administrative Bedienoberfläche des WS_FTP-Servers (CVE-2024-1474, CVSS 7.5, Risiko "hoch"). WS_FTP: Betroffene Versionen Betroffen sind WS_FTP-Versionen bis einschließlich 2022.0.4 (8.8.4). Die Aktualisierung auf das Februar-Servicepack hievt den Server auf Versionsstand 2022.0.5 (8.8.5) und korrigiert die sicherheitsrelevanten Fehler. Wer WS_FTP 2020.0.x (8.7.x) oder ältere Fassungen einsetzt, muss auf aktuell unterstützte Versionen aktualisieren. Die alten Versionen sind bereits aus dem Support gefallen. Sie sind zwar in der vom Hersteller so genannten "Sunset-Phase" angelangt, aber Software-Updates gibt es dafür nicht mehr. Eine Tabelle auf der Produkt-Lebenszyklus-Webseite erläutert, welche Versionen noch Unterstützung erhalten. Das Update steht nach dem Log-in im Download-Center von Progress zum Herunterladen bereit. Dort sollte WS_FTP unter dem "My Active"-Tab auftauchen. Die Download-Links befinden sich dort unter "Related Products & Downloads", erklärt Progress in der Sicherheitsmitteilung. In WS_FTP muss Hersteller Progress häufiger Sicherheitslecks abdichten. Im November konnten Angreifer eine Schwachstelle in WS_FTP missbrauchen, um Dateien an beliebige Stellen des Dateisystems hochzuladen. Cyberkriminelle nutzen Sicherheitslecks in der Software auch tatsächlich für Angriffe mit Ransomware aus, wie etwa im vergangenen Oktober bekannt wurde. (dmk) Zur Startseite - Zugriffe: 45