The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от opennews (ok) on 02-Апр-11, 11:20 
Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e (http://www.proftpd.org/) в котором исправлена 21 ошибка (http://www.proftpd.org/docs/NEWS-1.3.3e). В новой версии устранено две уязвимости:


-  Уязвимость (http://www.opennet.ru/opennews/art.shtml?num=29839) в реализации (http://bugs.proftpd.org/show_bug.cgi?id=3624) команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.

-  Уязвимость (http://bugs.proftpd.org/show_bug.cgi?id=3586) в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.


Другие исправления:


-  Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
-  Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autos...

URL: http://www.proftpd.org/
Новость: http://www.opennet.ru/opennews/art.shtml?num=30107

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от bircoph (ok) on 02-Апр-11, 11:20 
А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
Нужно vsftpd использовать — и всё будет хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +1 +/
Сообщение от Sadok email(??) on 02-Апр-11, 11:51 
уж сколько раз твердили миру...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +5 +/
Сообщение от V (??) on 02-Апр-11, 12:21 
до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  –1 +/
Сообщение от x on 02-Апр-11, 13:14 
vsftpd может виртуальных юзеров?(в простом plain text файле)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +1 +/
Сообщение от Sadok email(??) on 02-Апр-11, 14:22 
> vsftpd может виртуальных юзеров?(в простом plain text файле)

может.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 02-Апр-11, 14:29 
> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )

А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос не флейма ради. Просто из того, что я вижу и сам юзаю - в 99% случаев - ftp это зачастую просто анонимный доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +1 +/
Сообщение от odus (ok) on 02-Апр-11, 16:47 
> не флейма ради. Просто из того, что я вижу и сам
> юзаю - в 99% случаев - ftp это зачастую просто анонимный

ключевая фраза - "сам вижу и сам юзаю"
а так как больше ничего не видел
то и результат ясен ...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 02-Апр-11, 16:48 
Угу.
http://phdru.name/Russian/Software/ftp_vs_http.html
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  –3 +/
Сообщение от Аноним (??) on 02-Апр-11, 20:02 
Очень фичастый ... паравоз. В век самолётов - не нуна!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Аноним email(??) on 02-Апр-11, 20:18 
а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случайно? ато патчилось оно только с хорошими пинками ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от HFSC (??) on 02-Апр-11, 21:36 
>> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
> А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос
> не флейма ради. Просто из того, что я вижу и сам
> юзаю - в 99% случаев - ftp это зачастую просто анонимный
> доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

Преимущество профтпд в модульности

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от bircoph (ok) on 02-Апр-11, 21:59 
Каких именно функций в vsftpd вам не хватает?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от анон on 03-Апр-11, 00:48 
Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться?
А с utf-8 там всё хорошо, емнип.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от анон on 03-Апр-11, 00:50 
> Нужно vsftpd использовать — и всё будет хорошо.

proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от анон on 03-Апр-11, 01:32 
>уж сколько раз твердили миру...

Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку (неконтролируемый глоббинг).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +2 +/
Сообщение от Аноним (??) on 03-Апр-11, 08:58 
С перекодировкой давно все отлично. Мдуль NLS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Sadok email(??) on 03-Апр-11, 12:08 
>>уж сколько раз твердили миру...
> Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую
> дырку (неконтролируемый глоббинг).

это бага в libc, а не в реализации сервера. дырку тут же заткнули.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  –1 +/
Сообщение от rshadow on 03-Апр-11, 13:40 
Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от гафт on 04-Апр-11, 17:50 
ссылку на документацию дайте пожалуйста, где описывается как это сделать.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Sadok email(??) on 04-Апр-11, 17:55 
> ссылку на документацию дайте пожалуйста, где описывается как это сделать.

http://www.google.ru/search?q=vsftpd+virtual+users&ie=utf-8&...

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от SHRDLU (ok) on 05-Апр-11, 14:29 
> А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
> Нужно vsftpd использовать — и всё будет хорошо.

Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot.
Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 05-Апр-11, 16:15 
> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
> им пользовались единицы. Как пошел dovecot в массы - так и
> в нём стали находить дыры и баги.

Ссылку на хоть одну опасную уязвимость в dovecot в студию. Там только несущественные мелочи до сих пор находили, которые максимум к отвалу текущей сессии могли привести.

PS. http://secunia.com/advisories/search/?search=dovecot

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от SHRDLU (ok) on 05-Апр-11, 18:02 
>> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
>> им пользовались единицы. Как пошел dovecot в массы - так и
>> в нём стали находить дыры и баги.
> Ссылку на хоть одну опасную уязвимость в dovecot в студию.

Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь.
Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"  +/
Сообщение от net email(??) on 20-Апр-11, 20:23 
хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего!
я думаю что все_ таки iptables и подобные фильтры должны защитить...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor