Achtung bei SublimeText mit sFTP

Nicht schlecht gestaunt hat der Systemadministrator als ich ihm erzählt habe, dass die Editor Software SublimeText unter Verwendung des sFTP-Plugins eine sogenannte sftp-config.json Datei mit hoch lädt. Die Datei speichert neben den Projektdaen auch die FTP-Daten wie Passwort, Benutzername, Pfad und Port im Klartext mit.

Natürlich wurden sofort alle sftp-config.json Dateien auf unseren Servern entfernt. Das schlimme an der Sache ist, dass dieses Problem bereits bekannt ist, aber nie groß diskutiert wurde.

Ein großes Sicherheitsproblem?

Es mag vielleicht übertrieben klingen, aber in Wirklichkeit ist die ganze Sache ein großes Sicherheitsproblem. Wenn man direkt nach der genannten sFTP Datei sucht wird man schnell im Web fündig. Einige offene Treffer sind auch auf github.com zu finden.

Gefunden habe ich hier zum Beispiel eine Universität aus Denver (USA). Alle von mir gefundenen FTP Daten aus der sftp-config.json Datei von der Universität waren korrekt. Ich konnte mich problemlos mit Filezilla auf den Server der Universität einloggen und hatte zum gesammten Server Zugriff!

Die Universität habe ich selbstverständlich benachrichtigt. Nach gerade mal 2 Stunden erhielt ich ein großes Dankeschön. In der Antwort wurde mir zudem mitgeteilt, das die Passwörter schnellst möglich zurückgesetzt werden.

Was passiert als nächstes?

Ob alle SublimeText Benutzer betroffen sind, ist noch unklar. Verschiedene Sicherheitsexperten, darunter Heise Security, Netzpolitik, Sicherheit Online und Chip, habe ich bereits verständigt und um Hilfe gebeten. In der Sublime Text Community werde ich eine Meldung herausgeben und die User zur Vorsicht bitten.

Sobald ich weitere Informationen erhalte, werde ich eine Rückmeldung geben.

Dir gefällt der Artikel?

Comments

  1. By Michael

    Antworten

    • By Nico

      Antworten

  2. By Benjamin Butschko

    Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>