Выпущен (http://vsftpd.beasts.org/) корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость (http://securityreason.com/securityalert/8109), которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.

Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые и...

URL: http://vsftpd.beasts.org/
Новость: https://www.opennet.ru/opennews/art.shtml?num=29757

• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,DmitryINdig0, 21:21 , 01-Мрт-11
  • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,анон, 22:19 , 01-Мрт-11
    • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,DmitryINdig0, 22:25 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 21:28 , 01-Мрт-11
  • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,анон, 22:14 , 01-Мрт-11
    • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 23:16 , 01-Мрт-11
  • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 23:55 , 01-Мрт-11
    • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 23:59 , 01-Мрт-11
      • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,анон, 00:09 , 02-Мрт-11
      • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 00:32 , 02-Мрт-11
        • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,anonymous, 08:28 , 02-Мрт-11
          • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 10:01 , 02-Мрт-11
            • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,anonymous, 11:30 , 02-Мрт-11
      • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 05:40 , 02-Мрт-11
        • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,metallic, 11:27 , 02-Мрт-11
          • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,User294, 01:21 , 03-Мрт-11
  • Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Frank, 08:32 , 02-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 21:52 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,User294, 21:58 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,анон, 22:16 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Аноним, 23:03 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,Кракен, 23:28 , 01-Мрт-11
• Вышел vsftpd 2.3.4 с устранением DoS-уязвимости,moralez, 10:19 , 02-Мрт-11

Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв. =)

>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.

Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

>>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
> Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

...я в отношении списка серверов и версий куда ломиться кулхацкерам

>если не настроен лимит на число соединений с одного IP

Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать
на публичном сервере .... мда ...

P.S. pure-ftpd наше все ;)

>Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать на публичном сервере .... мда ...

При достаточном уровне вложенности можно практически любой сервер одним коннектом уложить, так что без разницы.

> При достаточном уровне вложенности можно практически любой сервер одним
> коннектом уложить, так что без разницы.

А по подробнее можно ?

P.S. В pure-ftpd по умолчнию стоит -
- '-L <max files>:<max depth>': To avoid stupid denial-of-service attacks
(or just CPU hogs), Pure-FTPd never displays more than 10000 files in response
to an 'ls' command. Also, a recursive 'ls' (-R) never goes further than 5
subdirectories. You can increase/decrease those limits with the '-L' option.

Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd, что дальше?

> Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd,
> что дальше?

Ты что из крио-камеры что ли ?

Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
Просто некоторым не нравится его БЗД лицензия ;)

>Всю жизнь пуре был более защищеный и более фичастый и более легкий ...

Ага. Помнится, ещё в 2003 году гуляли по нишм лесам remote root сплойты для него.
А сейчас он уже практически дохлый (год как не шевелится).

> Всю жизнь пуре был более защищеный и более фичастый и более легкий

После появления 0-day remote ROOT exploit (http://www.governmentsecurity.org/forum/index.php?showtopic=...) и последующих попыток автора pure-ftpd всячески скрыть информацию об этой дыре на pure-ftpd все поставили жирный крест, так как сапер ошибается только один раз. В vsftpd серьезных дыр за всю историю его существования еще не было.

> 0-day remote ROOT exploit

И что ? Сейчас есть ?
А ремоте в всфтпд тоже были тот же 205 к примеру ... Так что не нужно ляля.

> так как сапер ошибается только один раз.

Ну ну жди когды следующий раз будешь убит :)

Дело не в том были ли дыра. А как часто их тама находят и насколько быстро патчут.

Как анонимус онли - всфтпд может и тянет. Но у него слишком безобразная работа
с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
токо с такого ип, с такой то скоростью и с 8-00 до 17-00 и тд :(

>> 0-day remote ROOT exploit
> И что ? Сейчас есть ?
> А ремоте в всфтпд тоже были тот же 205 к примеру ...

remote DoS в vsftpd, требующих дополнительных правок конфига и определенных системных настроек и remote запуск кода с правами ROOT из коробки в pure-ftpd вещи немного разного уровня, не правда ли ? В vsftpd уязвимостей приводящих к local или remote запуску кода отродясь небыло. Более того в vsftpd очень хитрая политика сброса привилегий и использования chroot, так что если и найдут там когда-либо дыру, в чем я сильно сомневаюсь, то эксплуатировать ее будет крайне сложно.

> Дело не в том были ли дыра. А как часто их тама
> находят и насколько быстро патчут.

Дело в качестве кода и отношении к безопасности авторов к проекту. Одной дыры, приводящей к возможности написания эксплоита для удаленного запуска кода, более чем достаточно, чтобы навсегда занести проект в черный список.

> с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
> токо с такого ип, с такой то скоростью и с 8-00 до
> 17-00 и тд :(

С гибкостью у vsftpd действительно слабовато.

> remote DoS в vsftpd, требующих дополнительных правок конфига и определенных
> системных настроек

Каких еще конфигов и настроек ? Кстати решил поглядеть чанж лог на vsftpd и офигел
( я про описание что сделано в 2.3.3 и 2.3.4 ) круто слов просто нет.
Можешь дальше верить во все бредни ;)

( кстати - http://www.governmentsecurity.org/forum/index.php?showtopic=... у меня не открывается пишет какая то ошибка бд и лучше на будущее не давать ссылки с каких то левых
форумов )

> Дело в качестве кода и отношении к безопасности авторов к проекту.

Во правильно. Погляди vsftpd в сырцы и поймешь сразу тогда ;)

> С гибкостью у vsftpd действительно слабовато.

Гибксости конечно до фига, она сделана через ж.
И присем автор додумался запихать в парсер конфига в сам демон... мдаааа слов нету просто :)

Кстати сравнивали тут по жручести рама и загрузке проца vsftpd в полной ж... ( отностильно
pure ) ( сранивали при ~ 200 конектах )

Pure менее фичастый чем proftpd, но не менее дырявый. Аналогов vsftpd пока нет.

Троль, в каком месте pure менее фичястый?

> Троль,
> фичястый?

Кошмар! Куда катится этот мир? oO

Мсье забыл про существование кучи юзеров за NATами?

Adobe юзает vsftpd? o_O Во лицемеры, блин!

Хехе, добрые чуваки. И список потенциальных жертв дали :). Этак скоро начнут встраивать JS по типу LOIC прямо в новость: "click here to pwn 'em".

>надежного, защищенного ... FTP-сервера
>уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки

Где-то здесь было деление на ноль.

Да, странно в vsftp такое наблюдать. Что-то, а glob - одно из первых мест где проблемы случаются.

Очень безопасный демон ftp оказался немного опасным. :)

Неизвестно с какой версии проблема началась. Даже в последнем релизе убунты ещё 2.3-pre. В более старых возможно и не работает.