URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 76031
[ Назад ]

Исходное сообщение
"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено opennews , 02-Апр-11 11:20

Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e (http://www.proftpd.org/) в котором исправлена 21 ошибка (http://www.proftpd.org/docs/NEWS-1.3.3e). В новой версии устранено две уязвимости:

-  Уязвимость (http://www.opennet.ru/opennews/art.shtml?num=29839) в реализации (http://bugs.proftpd.org/show_bug.cgi?id=3624) команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
-  Уязвимость (http://bugs.proftpd.org/show_bug.cgi?id=3586) в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.

Другие исправления:

-  Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
-  Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autos...
URL: http://www.proftpd.org/
Новость: http://www.opennet.ru/opennews/art.shtml?num=30107

Содержание

Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,bircoph, 11:20 , 02-Апр-11
- Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Sadok, 11:51 , 02-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,x, 13:14 , 02-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Sadok, 14:22 , 02-Апр-11
      - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,гафт, 17:50 , 04-Апр-11
        
        Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Sadok, 17:55 , 04-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,анон, 01:32 , 03-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Sadok, 12:08 , 03-Апр-11
- Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,V, 12:21 , 02-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 14:29 , 02-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,odus, 16:47 , 02-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 16:48 , 02-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,HFSC, 21:36 , 02-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,rshadow, 13:40 , 03-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 20:02 , 02-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,bircoph, 21:59 , 02-Апр-11
- Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,анон, 00:50 , 03-Апр-11
- Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,SHRDLU, 14:29 , 05-Апр-11
  - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 16:15 , 05-Апр-11
    - Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,SHRDLU, 18:02 , 05-Апр-11
Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 20:18 , 02-Апр-11
- Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,анон, 00:48 , 03-Апр-11
Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,Аноним, 08:58 , 03-Апр-11
Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей,net, 20:23 , 20-Апр-11

Сообщения в этом обсуждении

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено bircoph , 02-Апр-11 11:20

А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
Нужно vsftpd использовать — и всё будет хорошо.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Sadok , 02-Апр-11 11:51

уж сколько раз твердили миру...

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено x , 02-Апр-11 13:14

vsftpd может виртуальных юзеров?(в простом plain text файле)

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Sadok , 02-Апр-11 14:22

> vsftpd может виртуальных юзеров?(в простом plain text файле)
может.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено гафт , 04-Апр-11 17:50

ссылку на документацию дайте пожалуйста, где описывается как это сделать.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Sadok , 04-Апр-11 17:55

> ссылку на документацию дайте пожалуйста, где описывается как это сделать.
http://www.google.ru/search?q=vsftpd+virtual+users&ie=utf-8&...

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено анон , 03-Апр-11 01:32

>уж сколько раз твердили миру...
Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку (неконтролируемый глоббинг).

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Sadok , 03-Апр-11 12:08

>>уж сколько раз твердили миру...
> Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую
> дырку (неконтролируемый глоббинг).
это бага в libc, а не в реализации сервера. дырку тут же заткнули.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено V , 02-Апр-11 12:21

до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 02-Апр-11 14:29

> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос не флейма ради. Просто из того, что я вижу и сам юзаю - в 99% случаев - ftp это зачастую просто анонимный доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено odus , 02-Апр-11 16:47

> не флейма ради. Просто из того, что я вижу и сам
> юзаю - в 99% случаев - ftp это зачастую просто анонимный
ключевая фраза - "сам вижу и сам юзаю"
а так как больше ничего не видел
то и результат ясен ...

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 02-Апр-11 16:48

Угу.
http://phdru.name/Russian/Software/ftp_vs_http.html

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено HFSC , 02-Апр-11 21:36

>> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
> А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос
> не флейма ради. Просто из того, что я вижу и сам
> юзаю - в 99% случаев - ftp это зачастую просто анонимный
> доступ к файлообменникам. И то, его оттуда успешно вытесняет http.
Преимущество профтпд в модульности

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено rshadow , 03-Апр-11 13:40

Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 02-Апр-11 20:02

Очень фичастый ... паравоз. В век самолётов - не нуна!

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено bircoph , 02-Апр-11 21:59

Каких именно функций в vsftpd вам не хватает?

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено анон , 03-Апр-11 00:50

> Нужно vsftpd использовать — и всё будет хорошо.
proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено SHRDLU , 05-Апр-11 14:29

> А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
> Нужно vsftpd использовать — и всё будет хорошо.
Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot.
Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 05-Апр-11 16:15

> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
> им пользовались единицы. Как пошел dovecot в массы - так и
> в нём стали находить дыры и баги.
Ссылку на хоть одну опасную уязвимость в dovecot в студию. Там только несущественные мелочи до сих пор находили, которые максимум к отвалу текущей сессии могли привести.
PS. http://secunia.com/advisories/search/?search=dovecot

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено SHRDLU , 05-Апр-11 18:02

>> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
>> им пользовались единицы. Как пошел dovecot в массы - так и
>> в нём стали находить дыры и баги.
> Ссылку на хоть одну опасную уязвимость в dovecot в студию.
Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь.
Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 02-Апр-11 20:18

а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случайно? ато патчилось оно только с хорошими пинками ...

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено анон , 03-Апр-11 00:48

Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться?
А с utf-8 там всё хорошо, емнип.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено Аноним , 03-Апр-11 08:58

С перекодировкой давно все отлично. Мдуль NLS.

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Отправлено net , 20-Апр-11 20:23

хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего!
я думаю что все_ таки iptables и подобные фильтры должны защитить...