Выпущен (http://vsftpd.beasts.org/) корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость (http://securityreason.com/securityalert/8109), которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.
Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые и...URL: http://vsftpd.beasts.org/
Новость: https://www.opennet.ru/opennews/art.shtml?num=29757
Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв. =)
>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.
>>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
> Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd....я в отношении списка серверов и версий куда ломиться кулхацкерам
>если не настроен лимит на число соединений с одного IPНе понял ? Это насколько нужно быть дауном чтобы такое не настаивать
на публичном сервере .... мда ...P.S. pure-ftpd наше все ;)
>Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать на публичном сервере .... мда ...При достаточном уровне вложенности можно практически любой сервер одним коннектом уложить, так что без разницы.
> При достаточном уровне вложенности можно практически любой сервер одним
> коннектом уложить, так что без разницы.А по подробнее можно ?
P.S. В pure-ftpd по умолчнию стоит -
- '-L <max files>:<max depth>': To avoid stupid denial-of-service attacks
(or just CPU hogs), Pure-FTPd never displays more than 10000 files in response
to an 'ls' command. Also, a recursive 'ls' (-R) never goes further than 5
subdirectories. You can increase/decrease those limits with the '-L' option.
Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd, что дальше?
> Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd,
> что дальше?Ты что из крио-камеры что ли ?
Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
Просто некоторым не нравится его БЗД лицензия ;)
>Всю жизнь пуре был более защищеный и более фичастый и более легкий ...Ага. Помнится, ещё в 2003 году гуляли по нишм лесам remote root сплойты для него.
А сейчас он уже практически дохлый (год как не шевелится).
> Всю жизнь пуре был более защищеный и более фичастый и более легкийПосле появления 0-day remote ROOT exploit (http://www.governmentsecurity.org/forum/index.php?showtopic=...) и последующих попыток автора pure-ftpd всячески скрыть информацию об этой дыре на pure-ftpd все поставили жирный крест, так как сапер ошибается только один раз. В vsftpd серьезных дыр за всю историю его существования еще не было.
> 0-day remote ROOT exploitИ что ? Сейчас есть ?
А ремоте в всфтпд тоже были тот же 205 к примеру ... Так что не нужно ляля.> так как сапер ошибается только один раз.
Ну ну жди когды следующий раз будешь убит :)
Дело не в том были ли дыра. А как часто их тама находят и насколько быстро патчут.
Как анонимус онли - всфтпд может и тянет. Но у него слишком безобразная работа
с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
токо с такого ип, с такой то скоростью и с 8-00 до 17-00 и тд :(
>> 0-day remote ROOT exploit
> И что ? Сейчас есть ?
> А ремоте в всфтпд тоже были тот же 205 к примеру ...remote DoS в vsftpd, требующих дополнительных правок конфига и определенных системных настроек и remote запуск кода с правами ROOT из коробки в pure-ftpd вещи немного разного уровня, не правда ли ? В vsftpd уязвимостей приводящих к local или remote запуску кода отродясь небыло. Более того в vsftpd очень хитрая политика сброса привилегий и использования chroot, так что если и найдут там когда-либо дыру, в чем я сильно сомневаюсь, то эксплуатировать ее будет крайне сложно.
> Дело не в том были ли дыра. А как часто их тама
> находят и насколько быстро патчут.Дело в качестве кода и отношении к безопасности авторов к проекту. Одной дыры, приводящей к возможности написания эксплоита для удаленного запуска кода, более чем достаточно, чтобы навсегда занести проект в черный список.
> с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
> токо с такого ип, с такой то скоростью и с 8-00 до
> 17-00 и тд :(С гибкостью у vsftpd действительно слабовато.
> remote DoS в vsftpd, требующих дополнительных правок конфига и определенных
> системных настроекКаких еще конфигов и настроек ? Кстати решил поглядеть чанж лог на vsftpd и офигел
( я про описание что сделано в 2.3.3 и 2.3.4 ) круто слов просто нет.
Можешь дальше верить во все бредни ;)( кстати - http://www.governmentsecurity.org/forum/index.php?showtopic=... у меня не открывается пишет какая то ошибка бд и лучше на будущее не давать ссылки с каких то левых
форумов )> Дело в качестве кода и отношении к безопасности авторов к проекту.
Во правильно. Погляди vsftpd в сырцы и поймешь сразу тогда ;)
> С гибкостью у vsftpd действительно слабовато.
Гибксости конечно до фига, она сделана через ж.
И присем автор додумался запихать в парсер конфига в сам демон... мдаааа слов нету просто :)Кстати сравнивали тут по жручести рама и загрузке проца vsftpd в полной ж... ( отностильно
pure ) ( сранивали при ~ 200 конектах )
Pure менее фичастый чем proftpd, но не менее дырявый. Аналогов vsftpd пока нет.
Троль, в каком месте pure менее фичястый?
> Троль,
> фичястый?Кошмар! Куда катится этот мир? oO
Мсье забыл про существование кучи юзеров за NATами?
Adobe юзает vsftpd? o_O Во лицемеры, блин!
Хехе, добрые чуваки. И список потенциальных жертв дали :). Этак скоро начнут встраивать JS по типу LOIC прямо в новость: "click here to pwn 'em".
>надежного, защищенного ... FTP-сервера
>уязвимость, которая может быть использована злоумышленниками для совершения DoS-атакиГде-то здесь было деление на ноль.
Да, странно в vsftp такое наблюдать. Что-то, а glob - одно из первых мест где проблемы случаются.
Очень безопасный демон ftp оказался немного опасным. :)
Неизвестно с какой версии проблема началась. Даже в последнем релизе убунты ещё 2.3-pre. В более старых возможно и не работает.