The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Удаленное выполнение кода в ProFTPD mod_tls"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от opennews on 29-Ноя-06, 15:28 
Спустя две недели после обнаружения прошлой (https://www.opennet.ru/opennews/art.shtml?num=8799) удаленной уязвимости, опубликована информация (http://secunia.com/advisories/23141/) о новой проблеме, так же как и в первом случае позволяющей удаленному злоумышленнику запустить свой код на сервере.


Проблеме подвержен модуль mod_tls, в качестве временного решения можно отключить его в конфигурации.


Лишь спустя 18 дней после поступления информации о первой уязвимости,  была выпущена (http://bugs.proftpd.org/show_bug.cgi?id=2858) новая версия  ProFTPD 1.3.0a (http://www.proftpd.org/), в которой исправлены три последние проблемы безопасности (2 возможности удаленного запуска кода и 1 проблема (http://secunia.com/advisories/22821/) дающая возможность совершения DoS атаки).


URL: http://bugs.proftpd.org/show_bug.cgi?id=2858
Новость: https://www.opennet.ru/opennews/art.shtml?num=9042

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Денискин on 29-Ноя-06, 15:28 
ЗАДОЛБАЛИ !!!!
все счас пропатчим и если еще один баг найдут уйду нахер на vsftp
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от fr33man email on 29-Ноя-06, 15:47 
Я после выхода первой уязвимости перешел на pure-ftpd.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от вадим (??) on 29-Ноя-06, 16:11 
так я непонял... версия 1.3.0a уже избавлена от дыры в mod_tls ? или нет???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Денискин on 29-Ноя-06, 16:55 
неа
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от мимоход on 29-Ноя-06, 17:09 
изначально pure-ftpd и ничто другое
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "+1"  
Сообщение от Квагга on 29-Ноя-06, 20:43 
pure-ftpd
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от squirL email(??) on 29-Ноя-06, 17:26 
прям, проблема... вы сильно тот mod_tls юзаете?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от avatar (ok) on 29-Ноя-06, 18:05 
И никуда, и не собираюсь переезжать!
Такой функционал еще поискать надо. А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных, мне не нужен. И еще говорят о какой-то безопасности.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Ilia Kuliev email on 29-Ноя-06, 18:31 
> А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных,

Вы ничего не путаете?
В vsftpd есть файл например vsftpd.user_list и директивы
userlist_deny=...
userlist_enable=...

Смотрим в ман:
       userlist_deny
This option is examined if userlist_enable is activated. If you set this setting to NO,  then  users will be denied login unless they are explicitly listed in the file specified by userlist_file.  When login is denied, the denial is issued before the user is asked for a password.
Default: YES

       userlist_enable
If enabled, vsftpd will load a list of usernames, from the filename given by userlist_file.   If  a user  tries  to  log  in  using a name in this file, they will be denied before they are asked for a password. This may  be  useful  in  preventing  cleartext  passwords  being  transmitted.  See  also userlist_deny.
Default: NO

Не надо грязи, в общем. Можно в нем запретить всех пользователей и разрешить только избранных, для этого ставится userlist_deny=NO, userlist_enable=YES, и в файле указанном в userlist_file перечисляете пользователей, которым можно пользоваться ftp.
Читайте маны, они рулез.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от avatar (ok) on 30-Ноя-06, 11:37 
>> А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных,
>
...
>Не надо грязи, в общем. Можно в нем запретить всех пользователей и
>разрешить только избранных, для этого ставится userlist_deny=NO, userlist_enable=YES, и в файле
>указанном в userlist_file перечисляете пользователей, которым можно пользоваться ftp.
>Читайте маны, они рулез.

Видимо я не прав. Хотя, когда я изучал документацию не нашел как это сделать. Может тогда была старая версия? Может не внимательно изучал...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Аноним on 29-Ноя-06, 20:50 
надеюсь баг не последний
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Аноним on 29-Ноя-06, 21:53 
У ProFTPD довольно слабая команда разработчиков
10 дней назад об ошибке mod_tls сказали - проигнорировали
винить можно только себя
почитайте на досуге:
http://blogs.23.nu/ilja/stories/13474/
http://elegerov.blogspot.com/2006/11/while-working-with-proftpd-dev-team-to.html

А тут они "оправдания" себе ищут ну и шутят немного, как же без этого:
http://sourceforge.net/mailarchive/forum.php?thread_id=31128679&forum_id=2637

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Аноним on 29-Ноя-06, 23:06 
я вам больше скажу - у proftpd дырок меньше всего почем-то. в отличие от остальных софтин. если народ так закипишевал по поводу трех несчастных дырок, что же должно быть, когда каждый ень находятся очередные php_injection и прочая фигня во фсяких движках форумов и проче\й мутотени?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Аноним on 29-Ноя-06, 23:15 
>я вам больше скажу - у proftpd дырок меньше всего почем-то
ерунда, сравнивать надо с другими FTP серверами - pureftpd,vsftpd.. и тд.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от universite email(ok) on 30-Ноя-06, 01:10 
Дырки будут везде и всегда.
А перенастраивать продакшен-сервера для перехода на другой фтп будет очень накладно.

P.S. mod_tls не стоит.
P.P.S. Основные проблемы фтп-серверов - защита аплоуда и перебора простых паролей ботами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "защита аплоуда и перебора простых паролей ботами"  
Сообщение от Квагга on 30-Ноя-06, 06:58 
pureftpd рутается предельно просто.

Перебирай и угадывай. Нет проблем. Кик при траверсе рута, а шалить в пределах квоты. Пусть хакер хоть кол себе на башке вытешет внутри отведенного ему рута.

Очень надёжно. Советую перебегать на pureftpd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Аноним on 30-Ноя-06, 07:53 
>Дырки будут везде и всегда.

Так пытаются оправдать софт написанный абсолютно некомпетентными людьми. Сравните софт подобный proftpd и всякие поделки на PHP к примеру с vsftpd или postfix, небо и земля.

Сначала дыры в proftpd можно было списать на то что его создали студенты первокурсники, но после того как дыры продолжают всплывать постоянно уже скоро как 10 лет, видимо руки у команды proftpd  растут не из того места, на случайный недосмотр списать уже не получается. Учиться те товарищи тоже не желают, но продолжают выдавать ударными темпами фичи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от wentoir on 30-Ноя-06, 08:26 
Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить его на vsftpd, но не смог разрешить анонимный вход только с определенных ip, а по парольному доступу открыть всем.  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от dimus email(??) on 30-Ноя-06, 09:28 
>Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить
>его на vsftpd, но не смог разрешить анонимный вход только с
>определенных ip, а по парольному доступу открыть всем.

Делается элементарно при помощи tcp-wrapper-a
Допустим у нас есть сеть 192.168.0.0/24, с которой надо что-то разрешить, а для остальных - запретить. Редактируем файл /etc/hosts.allow

vsftpd: 192.168.0.0/255.255.255.0, 127.0.0.1: setenv VSFTPD_LOAD_CONF /etc/vsftpd-int.conf : nice 15
vsftpd: ALL : nice 15

В результате при коннекте из нашей сети будет выполняться конфиг /etc/vsftpd-int.conf, а при коннекте из остальных сетей - /etc/vsftpd.conf Ну а прописать в разных конфигах разные фичи я думаю для вас проблем не составит. У меня так регулируется скорость:

cat /etc/vsftpd-int.conf
# Этот конфиг для внутренних нужд - скорость по максимуму
anon_max_rate=0
local_max_rate=0


cat /etc/vsftpd.conf
<тут пропущен здоровый кусок конфига>
anon_max_rate=32000
local_max_rate=64000

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от wentoir on 30-Ноя-06, 10:33 
>>Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить
>>его на vsftpd, но не смог разрешить анонимный вход только с
>>определенных ip, а по парольному доступу открыть всем.
>
>Делается элементарно при помощи tcp-wrapper-a
>Допустим у нас есть сеть 192.168.0.0/24, с которой надо что-то разрешить, а
>для остальных - запретить. Редактируем файл /etc/hosts.allow

Спасибо за подсказку, многим пригодится! Я запускаю proftpd и vsftpd в режиме standalone. Так как по ftp идет много обращений и запускать их через inetd будет очень жирно. От себя скажу, vsftpd хорош для простой отдачи файлов и обычной конфигурации. Хостеры очень любят proftpd за количество фич и гибкость настройки, наверное к формату конфигурационного файла привыкли =) А тем, кто легко меняет ftp-сервера, не нужна эта гибкость, просто в свое время хавту под руку подвернулась с рассказом о его настройке, а теперь глотки дерут ;-)  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от evs21 email on 01-Дек-06, 07:18 
>видимо руки у команды proftpd  растут
>не из того места, на случайный недосмотр списать уже не получается.

Товарищи, кто что хочет, тот то и юзает, а насчет рук не из того места, товарищу Анониму не мешало бы вправить себе мозги! Сначала сам что-нить толковое напиши, отдай на использование сообществу opensource, поддерживай в течение 10 лет, бесплатно причем(!!!), совершенствуй, вот тогда посмотрим у кого откуда руки растут.

Проблема в том, что большинство крикунов, которые тут собрались, никогда в жизни ничего сами не создали, зато спеси и критики хватает!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от abel (??) on 01-Дек-06, 10:43 
>Сначала сам что-нить толковое напиши, отдай на использование сообществу opensource, поддерживай
>в течение 10 лет, бесплатно причем(!!!), совершенствуй, вот тогда посмотрим у
>кого откуда руки растут.
>
>Проблема в том, что большинство крикунов, которые тут собрались, никогда в жизни
>ничего сами не создали, зато спеси и критики хватает!

Согласен, "критиковать каждый может", но если в течении долгого времени у тебя не получается дать людям качественный программный продукт, то надо завязывать с проектом. Сегодня трудность выбора ПО для решения какой-то задачи состоит в том, что программ много, но большинство из них являются мусором. Этот мусор не только бесполезен, но и приносит вред так приходится тратить время чтобы его изучить, оценить и отбросить.

Где инновации ? GNU-шники прилипли к языку C и нет никаких надежд что они когда-нибудь догадаются что на нём трудно писать надёжные программы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Денискин on 30-Ноя-06, 10:42 
как установить без Mod_tls и нафига он нужен то?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Денискин on 30-Ноя-06, 10:50 
нафига.. понял...а вто как без него установить?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Dmitry (??) on 30-Ноя-06, 11:14 
>нафига.. понял...а вто как без него установить?

Патч для mod_tls можно взять тут:

http://bugs.proftpd.org/show_bug.cgi?id=2860

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от avatar (ok) on 30-Ноя-06, 11:43 
Из этой дискусии и по себе я понял одно: vsftpd более сложен в конфигурации, т.е. в нем не все так тривиально настраивается.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от dimus email(??) on 30-Ноя-06, 12:37 
>Из этой дискусии и по себе я понял одно: vsftpd более сложен
>в конфигурации, т.е. в нем не все так тривиально настраивается.

Мне кажется, что вы тут заблуждаетесь. Просто возьмите и попробуйте настроить его на своей машине - на самом деле это совсем не сложно. В каталоге с исходниками есть доки с типовыми примерами. Все что нужно - это их внимательно посмотреть и понять.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Денискин on 30-Ноя-06, 12:16 
нах патч... я уже запутлся это тот патч или предпоследний...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Dmitry (??) on 30-Ноя-06, 19:25 
Это патч на mod_tls к версии 1.3.0a
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от TATARIN on 01-Дек-06, 06:13 
ХЕХ, я уже два года на vsftpd, нерканий нет.. прикольный серв.
ЗА vsftpd и qmail в плане безопасности душа не болит, что нельзя сказать о других сервисах, которые приходиться поддерживать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от mega4el email(ok) on 01-Дек-06, 10:56 
скажите, пожалуйста .. тот proftpd-1.3.0_4 который сейчас в портах - пропатчен или нет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Dmitry (??) on 01-Дек-06, 11:09 
Насколько я понимаю proftpd 1.3.0_4 не пропатчен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от mega4el email(ok) on 01-Дек-06, 15:19 
грустна ..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Удаленное выполнение кода в ProFTPD mod_tls"  
Сообщение от Dmitry (??) on 01-Дек-06, 17:03 
Руки дойдут - сделаю порт и пошлю
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру