форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
Сообщение от opennews (ok) on 02-Апр-11, 11:20
Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e (http://www.proftpd.org/) в котором исправлена 21 ошибка (http://www.proftpd.org/docs/NEWS-1.3.3e). В новой версии устранено две уязвимости: -  Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=29839) в реализации (http://bugs.proftpd.org/show_bug.cgi?id=3624) команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу. -  Уязвимость (http://bugs.proftpd.org/show_bug.cgi?id=3586) в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных. Другие исправления: -  Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace(); -  Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autos... URL: http://www.proftpd.org/ Новость: https://www.opennet.ru/opennews/art.shtml?num=30107
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
Сообщение от bircoph (ok) on 02-Апр-11, 11:20
А ведь самая главная уязвимость осталась неисправленной: ProFTPD. Нужно vsftpd использовать — и всё будет хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+1 +/–
	Сообщение от Sadok (??) on 02-Апр-11, 11:51
	уж сколько раз твердили миру...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	–1 +/–
	Сообщение от x on 02-Апр-11, 13:14
	vsftpd может виртуальных юзеров?(в простом plain text файле)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+1 +/–
	Сообщение от Sadok (??) on 02-Апр-11, 14:22
	> vsftpd может виртуальных юзеров?(в простом plain text файле) может.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	20. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от гафт on 04-Апр-11, 17:50
	ссылку на документацию дайте пожалуйста, где описывается как это сделать.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	21. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от Sadok (??) on 04-Апр-11, 17:55
	> ссылку на документацию дайте пожалуйста, где описывается как это сделать. http://www.google.ru/search?q=vsftpd+virtual+users&ie=utf-8&...
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	16. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от анон on 03-Апр-11, 01:32
	>уж сколько раз твердили миру... Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку (неконтролируемый глоббинг).
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	18. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от Sadok (??) on 03-Апр-11, 12:08
	>>уж сколько раз твердили миру... > Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую > дырку (неконтролируемый глоббинг). это бага в libc, а не в реализации сервера. дырку тут же заткнули.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	3. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+5 +/–
	Сообщение от V (??) on 02-Апр-11, 12:21
	до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 02-Апр-11, 14:29
	> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть ) А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос не флейма ради. Просто из того, что я вижу и сам юзаю - в 99% случаев - ftp это зачастую просто анонимный доступ к файлообменникам. И то, его оттуда успешно вытесняет http.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	8. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+1 +/–
	Сообщение от odus (ok) on 02-Апр-11, 16:47
	> не флейма ради. Просто из того, что я вижу и сам > юзаю - в 99% случаев - ftp это зачастую просто анонимный ключевая фраза - "сам вижу и сам юзаю" а так как больше ничего не видел то и результат ясен ...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 02-Апр-11, 16:48
	Угу. http://phdru.name/Russian/Software/ftp_vs_http.html
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от HFSC (??) on 02-Апр-11, 21:36
	>> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть ) > А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос > не флейма ради. Просто из того, что я вижу и сам > юзаю - в 99% случаев - ftp это зачастую просто анонимный > доступ к файлообменникам. И то, его оттуда успешно вытесняет http. Преимущество профтпд в модульности
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	19. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	–1 +/–
	Сообщение от rshadow on 03-Апр-11, 13:40
	Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	–3 +/–
	Сообщение от Аноним (??) on 02-Апр-11, 20:02
	Очень фичастый ... паравоз. В век самолётов - не нуна!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	13. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от bircoph (ok) on 02-Апр-11, 21:59
	Каких именно функций в vsftpd вам не хватает?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	15. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от анон on 03-Апр-11, 00:50
	> Нужно vsftpd использовать — и всё будет хорошо. proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	22. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от SHRDLU (ok) on 05-Апр-11, 14:29
	> А ведь самая главная уязвимость осталась неисправленной: ProFTPD. > Нужно vsftpd использовать — и всё будет хорошо. Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot. Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	23. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 05-Апр-11, 16:15
	> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока > им пользовались единицы. Как пошел dovecot в массы - так и > в нём стали находить дыры и баги. Ссылку на хоть одну опасную уязвимость в dovecot в студию. Там только несущественные мелочи до сих пор находили, которые максимум к отвалу текущей сессии могли привести. PS. http://secunia.com/advisories/search/?search=dovecot
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	24. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от SHRDLU (ok) on 05-Апр-11, 18:02
	>> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока >> им пользовались единицы. Как пошел dovecot в массы - так и >> в нём стали находить дыры и баги. > Ссылку на хоть одну опасную уязвимость в dovecot в студию. Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь. Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

11. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
Сообщение от Аноним (??) on 02-Апр-11, 20:18
а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случайно? ато патчилось оно только с хорошими пинками ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
	Сообщение от анон on 03-Апр-11, 00:48
	Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться? А с utf-8 там всё хорошо, емнип.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+2 +/–
Сообщение от Аноним (??) on 03-Апр-11, 08:58
С перекодировкой давно все отлично. Мдуль NLS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей"	+/–
Сообщение от net (??) on 20-Апр-11, 20:23
хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего! я думаю что все_ таки iptables и подобные фильтры должны защитить...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема