The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.04.2011 10:37  Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей

Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e в котором исправлена 21 ошибка. В новой версии устранено две уязвимости:

  • Уязвимость в реализации команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
  • Уязвимость в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.

Другие исправления:

  • Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
  • Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
  • Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
  • Откорректирован вывод некоторых предупреждающих сообщений;
  • Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
  • Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;

Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4, в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.

  1. Главная ссылка к новости (http://www.proftpd.org/...)
  2. OpenNews: Уязвимости в Plone, ProFTPD, OpenSSL, Tomcat, Chrome, WordPress, RealPlayer и Adobe Flash
  3. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  4. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
  5. OpenNews: Вышел ftp-сервер ProFTPD 1.3.3
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ProFTPD, ftp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, bircoph, 11:20, 02/04/2011 [ответить] [смотреть все]
  • +/
    А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
    Нужно vsftpd использовать — и всё будет хорошо.
     
     
  • 2.2, Sadok, 11:51, 02/04/2011 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    уж сколько раз твердили миру...
     
     
  • 3.4, x, 13:14, 02/04/2011 [^] [ответить] [смотреть все]
  • –1 +/
    vsftpd может виртуальных юзеров?(в простом plain text файле)
     
     
  • 4.5, Sadok, 14:22, 02/04/2011 [^] [ответить] [смотреть все]
  • +1 +/
    > vsftpd может виртуальных юзеров?(в простом plain text файле)

    может.

     
     
  • 5.20, гафт, 17:50, 04/04/2011 [^] [ответить] [смотреть все]
  • +/
    ссылку на документацию дайте пожалуйста, где описывается как это сделать.
     
     
  • 6.21, Sadok, 17:55, 04/04/2011 [^] [ответить] [смотреть все]  
  • +/
    http www google ru search q vsftpd virtual users ie utf-8 oe utf-8 aq t rls or... весь текст скрыт [показать]
     
  • 3.16, анон, 01:32, 03/04/2011 [^] [ответить] [смотреть все]  
  • +/
    Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку нек... весь текст скрыт [показать]
     
     
  • 4.18, Sadok, 12:08, 03/04/2011 [^] [ответить] [смотреть все]  
  • +/
    это бага в libc, а не в реализации сервера дырку тут же заткнули ... весь текст скрыт [показать]
     
  • 2.3, V, 12:21, 02/04/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
     
     
  • 3.6, Аноним, 14:29, 02/04/2011 [^] [ответить] [смотреть все]  
  • +/
    А где сейчас используется протокол ftp с какими-то особо богатыми возможностями ... весь текст скрыт [показать]
     
     
  • 4.8, odus, 16:47, 02/04/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    ключевая фраза - сам вижу и сам юзаю а так как больше ничего не видел то и рез... весь текст скрыт [показать]
     
  • 4.9, Аноним, 16:48, 02/04/2011 [^] [ответить] [смотреть все]  
  • +/
    Угу.
    http://phdru.name/Russian/Software/ftp_vs_http.html
     
  • 4.12, HFSC, 21:36, 02/04/2011 [^] [ответить] [смотреть все]  
  • +/
    Преимущество профтпд в модульности ... весь текст скрыт [показать]
     
  • 4.19, rshadow, 13:40, 03/04/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.
     
  • 3.10, Аноним, 20:02, 02/04/2011 [^] [ответить] [смотреть все]  
  • –3 +/
    Очень фичастый ... паравоз. В век самолётов - не нуна!
     
  • 3.13, bircoph, 21:59, 02/04/2011 [^] [ответить] [смотреть все]  
  • +/
    Каких именно функций в vsftpd вам не хватает?
     
  • 2.15, анон, 00:50, 03/04/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Нужно vsftpd использовать — и всё будет хорошо.

    proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.

     
  • 2.22, SHRDLU, 14:29, 05/04/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
    > Нужно vsftpd использовать — и всё будет хорошо.

    Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot.
    Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.

     
     
  • 3.23, Аноним, 16:15, 05/04/2011 [^] [ответить] [смотреть все]  
  • +/
    Ссылку на хоть одну опасную уязвимость в dovecot в студию Там только несуществе... весь текст скрыт [показать]
     
     
  • 4.24, SHRDLU, 18:02, 05/04/2011 [^] [ответить] [смотреть все]  
  • +/
    >> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
    >> им пользовались единицы. Как пошел dovecot в массы - так и
    >> в нём стали находить дыры и баги.
    > Ссылку на хоть одну опасную уязвимость в dovecot в студию.

    Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь.
    Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.

     
  • 1.11, Аноним, 20:18, 02/04/2011 [ответить] [смотреть все]  
  • +/
    а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случа... весь текст скрыт [показать]
     
     
  • 2.14, анон, 00:48, 03/04/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться?
    А с utf-8 там всё хорошо, емнип.
     
  • 1.17, Аноним, 08:58, 03/04/2011 [ответить] [смотреть все]  
  • +2 +/
    С перекодировкой давно все отлично. Мдуль NLS.
     
  • 1.25, net, 20:23, 20/04/2011 [ответить] [смотреть все]  
  • +/
    хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего!
    я думаю что все_ таки iptables и подобные фильтры должны защитить...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor