The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Удаленная уязвимость в OpenLDAP и локальная в ProFTPD

14.12.2006 22:00

В OpenLDAP найдена серьезная проблема безопасности, позволяющая атакующему удаленно выполнить свой код на сервере. Уязвимости подвержены только версии OpenLDAP собранные с ключом "--enable-kbind" (по умолчанию выключено начиная с версии 2.0.2 и удалено из скрипта конфигурирования начиная с 2.1).

В ProFTPD продолжают находить уязвимости, на этот раз используя ошибку в коде модуля mod_ctrls, злоумышленник имеющий локальный аккаунт может выполнить свой код на сервере c правами суперпользователя. Ошибка исправлена в ProFTPD 1.3.1rc1.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
  2. OpenNews: 29.11.2006 Удаленное выполнение кода в ProFTPD mod_tls
  3. OpenNews: 11.11.2006 Критическая уязвимость в ProFTPD
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: proftpd, security, openldap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bromantik (??), 22:17, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нет, это капец, я уже устал обновлять профтпд
    Неужели придётся переползать под vsftpd?
     
     
  • 2.2, Квагга (?), 22:22, 14/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем "переползать под vsftpd"?

    Вам сюды: http://www.pureftpd.org/

     
     
  • 3.3, smb (?), 22:46, 14/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Временно недоступен =)
    А так хорошая вещь...Не слишком громоздкая/многофукнциональная только ли?
     
     
  • 4.11, Квагга (?), 07:24, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Временно недоступен =)
    Гон?

    Проверьте кеши своей сетки. Это ваши сквиды в дауне для наружу.

     

  • 1.4, Basmach (?), 23:09, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня примерно такая конфигурация: есть пользаваетель А и пользователь В. Пользователь А имеет право качать из папки А но не может туда писать.
    Пользователь В может и писать и читать в папку А. Причем аккауны хранятся в mysql. И куда посоветуете переползти? А то дырявость proftpd задолбала!
     
     
  • 2.6, Killy (?), 23:50, 14/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Завести пользователя proftpd (напрмер) и запускать от его имени...
     
  • 2.9, гость (?), 02:33, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Создай нормальных пользователей с нулевым шеллом и разрули на уровне стандартных прав пользователя.
    Если уж очень надо мускуль, то может быть можно как-нибудь через PAM это дело хитро закрутить - подскажите, мудрые люди.
     
     
  • 3.10, null (??), 06:18, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь по русски написано описалово для изготовления модулей PAM. Описалово библиотеки libmysqlclient, или как там её, тоже есть. Всё просто и, думаю, в сотню строк на С влезет, так что можно написать на коленке, как мне кажется.
     
     
  • 4.30, Аноним (30), 23:54, 17/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Так ведь по русски написано описалово для изготовления модулей PAM. Описалово библиотеки
    >libmysqlclient, или как там её, тоже есть. Всё просто и, думаю,
    >в сотню строк на С влезет, так что можно написать на
    >коленке, как мне кажется.
    Blin , a emerge za4em ? :))
    slep3 linux # esearch pam_mysql
    [ Results for search key : pam_mysql ]
    [ Applications found : 1 ]

    *  sys-auth/pam_mysql
          Latest version available: 0.7_rc1-r1
          Latest version installed: [ Not Installed ]
          Size of downloaded files: 982 kB
          Homepage:    http://pam-mysql.sourceforge.net/
          Description: pam_mysql is a module for pam to authenticate users with mysql
          License:     GPL-2
    dumau k Free sami kak nibud


     
  • 2.20, Vaso Petrovich (?), 13:42, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    у меня так же на http://www.pureftpd.org/ поставил и забыл
     

  • 1.5, HardKiller (?), 23:27, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если ошибки находят, значит работают,
    если работают, значит программа будет
    работать как надо. молодцы что исправляют.
    вспомните linux-0.1 на что это было похоже?
     
  • 1.7, Alexey (??), 23:50, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И действительно работают! Наконец-то появилась поддержка RFC-2640!!! Теперь не нужны всякие iconv патчи. А какой фтп под пиксы может тем же похвастаться? ;-)
     
  • 1.8, Alexey (??), 00:02, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >... выполнить свой код с правами суперпользователя.
    Так это ежели сервис запущен с такими правами. Так нефик его под root-ом пускать!
     
     
  • 2.13, cmpxchg (?), 10:31, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    (испуганно) Месье изволит шутить, не так ли? Каким образом процесс, имея euid != 0, может читать, к примеру, свой конфиг, директории домашних пользователей, открывать серверный сокет с номером порта меньше 1024?
     
     
  • 3.14, cmpxchg (?), 10:35, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, про конфиг я сказал, не подумав. Про остальное остается в силе.

     
     
  • 4.15, cmpxchg (?), 11:02, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    ... хотя, как удалось выяснить чтением из исходников, в ProFTPD конфиг читается именно от рута.
     
  • 3.19, nickelodeon (?), 11:57, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    месье вероятно закомментировал  следующие строки из proftpd.conf

    # Set the user and group under which the server will run.
    User                            nobody
    Group                           nogroup

    (вместо nobody и nogroup можно создать других пользователей)
    Таким образом, привилегии демона будут соответствовать привилегиям указанного пользователя.


    ЗЫ: для дополнительной безопасности сервера никто не отменял chroot jail (:

     
  • 3.29, GateKeeper (??), 19:07, 17/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Срочно перечитайте про sysctl. Есть там пара волшебных параметров, указывающих, с какого по какой номера портов считатьюся привилегированными.

    далее скрипт:
    sysctl param=0
    /path/to/programm
    sysctl param=1023

    Работает без нареканий при запуске почтаря от пользователя с euid != 0.

     

  • 1.12, Dolphin (??), 10:29, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем это vsftpd плох ? Юзаю уже больше года, все пашет как часы
     
     
  • 2.28, dmitri (??), 18:23, 16/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Он хорош, но только в качестве анонимного ftp - не хватает функциональности
     

  • 1.16, Аноним (-), 11:39, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 cmpxchg
    все зависит от OS, например, SOLARIS 10,  - любой сервис можно запустить НЕ от рута =)
     
     
  • 2.17, si (?), 11:47, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    и он сможет стать другим юзером ?
     
  • 2.18, cmpxchg (?), 11:55, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Можно-то можно, вопрос только в том, пользуется ли ProFTPD ( и многие другие ) этой соляркиной фичей ( "least privilege model" )
     

  • 1.21, Полосатый Хряк (?), 14:59, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    итак 1.3.1rc1

    кто еще записался в бетта тестировщики?

     
  • 1.22, Аноним (-), 18:49, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    про солярку, от сервиса не требуется поддержка какихто фичей, _ЛЮБОЙ_ сервис можно запустить от простого пользователя, выдав _КОНКРЕТНЫЕ_ привилегии для него, в плоть до sys calls. меня таки эта фича ну просто ОЧЕНЬ радует =)
    p.s. инит скрипты канечно же нужно юзать не system v style, a SMF ;)
     
  • 1.23, ZANSWER (??), 21:02, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    МяФ!:) а можно ткнуть носом, где прочесть про эти фичи у Солярки, а то выглядит приятно, поставить потестить мона было бы...:)))
     
     
  • 2.24, cmpxchg (?), 00:23, 16/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я понимаю, речь идет об этом: http://www.sun.com/bigadmin/features/articles/least_privilege.html ( англ. )
     

  • 1.25, guest (??), 01:09, 16/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    закинул пдфку к сибе, где она у сантехников я хз
    http://msd.rnode.ru/svc_smf_priv_drop.pdf
     
  • 1.26, guest (??), 01:10, 16/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    несовсем то, в пдфке более полно.
     
  • 1.27, ZANSWER (??), 13:05, 16/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    МяФ!:) спасибо, уже читаю...:)))
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру