2 Aug

Achtung bei SublimeText mit sFTP

Nicht schlecht gestaunt hat der Systemadministrator als ich ihm erzählt habe, dass die Editor Software SublimeText unter Verwendung des sFTP-Plugins eine sogenannte sftp-config.json Datei mit hoch lädt. Die Datei speichert neben den Projektdaen auch die FTP-Daten wie Passwort, Benutzername, Pfad und Port im Klartext mit.

Natürlich wurden sofort alle sftp-config.json Dateien auf unseren Servern entfernt. Das schlimme an der Sache ist, dass dieses Problem bereits bekannt ist, aber nie groß diskutiert wurde.

Ein großes Sicherheitsproblem?

Es mag vielleicht übertrieben klingen, aber in Wirklichkeit ist die ganze Sache ein großes Sicherheitsproblem. Wenn man direkt nach der genannten sFTP Datei sucht wird man schnell im Web fündig. Einige offene Treffer sind auch auf github.com zu finden.

Gefunden habe ich hier zum Beispiel eine Universität aus Denver (USA). Alle von mir gefundenen FTP Daten aus der sftp-config.json Datei von der Universität waren korrekt. Ich konnte mich problemlos mit Filezilla auf den Server der Universität einloggen und hatte zum gesammten Server Zugriff!

Die Universität habe ich selbstverständlich benachrichtigt. Nach gerade mal 2 Stunden erhielt ich ein großes Dankeschön. In der Antwort wurde mir zudem mitgeteilt, das die Passwörter schnellst möglich zurückgesetzt werden.

Was passiert als nächstes?

Ob alle SublimeText Benutzer betroffen sind, ist noch unklar. Verschiedene Sicherheitsexperten, darunter Heise Security, Netzpolitik, Sicherheit Online und Chip, habe ich bereits verständigt und um Hilfe gebeten. In der Sublime Text Community werde ich eine Meldung herausgeben und die User zur Vorsicht bitten.

Sobald ich weitere Informationen erhalte, werde ich eine Rückmeldung geben.

Dir gefällt der Artikel?

3 thoughts on “Achtung bei SublimeText mit sFTP

  1. Unglaubliche Sicherheitslücke. Ich nutze für meine Projekte auch SublimeText, aber zum Glück nicht das Plugin. Vielleicht informierst du noch die GitHub-Betreiber. Die sollten am besten den Zugriff auf die Dateien mal vorübergehend sperren, bis jeder Gelegenheit hatte sein Repository aufzuräumen.

  2. Das Problem liegt nicht beim SFTP-Plugin, sondern beim Nutzer selbst. Wenn dieser in der sftp-config.json die ignore_regexes entfernt oder editiert, so dass dieser nicht mehr auf die sftp-config.json selbst matched.

    Seitdem ich sftp nutze, hatte ich derartige Probleme nicht!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>