forum.opennet.ru

"Критическая уязвимость в ProFTPd"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Критическая уязвимость в ProFTPd"	+/–
Сообщение от пох. (?), 24-Июл-19, 14:26
и легким движением я получаю открытый порт внутри твоего защищенного сегмента (разумеется, ты не вспомнил об этом, когда настраивал мне доступ). sftp _никогда_не_был_ предназначен для недоверенных (совершенно необязательно при этом - анонимных) пользователей, поскольку является расширением ssh, это _шелл_ на твой хост, умение передавать файлы в нем пришито грубыми стежками для упрощения его основной задачи. Костыли и подпорки, пона%$еверченные поверх в попытках как-то ограничить возможности только этой передачей - вообще слова доброго не стоят. И не говоря уже о том, что сам openssh имеет длинный шлейф уязвимостей и разрабатывается полными неадекватами.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в ProFTPd, opennews, 23-Июл-19, 23:18 [смотреть все]

Бесполезный комментарий про устаревший протокол, не имеющий отношения к делу , Аноним, 23-Июл-19, 23:18 (1) //
- Какую альтернативу предложите , BlackRot, 24-Июл-19, 00:07 (8) //
  - PureFTPD, Аноним, 24-Июл-19, 00:13 (9) //
    - Сервер, конечно, хороший, но, думается, имелась ввиду альтернатива протоколу, Аноним, 24-Июл-19, 00:18 (10)
      - sftp используй, не дурей , Аноним, 24-Июл-19, 00:28 (11)
        
        А анонимную загрузку там как сделать , Аноним, 24-Июл-19, 02:19 (14)
        
        WebDAV можно анонимам раздать или HTTP API, Аноним, 24-Июл-19, 02:44 (15)
        
        К WebDAV под венду нормальный клиентов нет, так чтобы из коробки или хотя бы отд, Ivan_83, 24-Июл-19, 02:51 (16)
        
        S3 https min io download windows , Аноним, 24-Июл-19, 02:54 (18)
        
        Не знаю что это но клиента под венду там не видать , Ivan_83, 24-Июл-19, 15:01 (42)
        
        Я не пойму чем вам браузер не подходит зашли обычным PUT и все Написать формочку, Аноним, 24-Июл-19, 18:57 (74)
        
        Не мне Я не умею формочку с пут, и этот пут там ещё кто то должен корректно отра, Ivan_83, 24-Июл-19, 19:37 (82)
        
        Syncthing https syncthing net images screenshot jpg, Аноним, 24-Июл-19, 02:56 (19)
        
        Это не похоже на вебдав клиента под венду , Ivan_83, 24-Июл-19, 15:02 (43)
        
        Если мне память не изменяет, винда сама аж из коробки умеет проводником ходить в, Аноним, 24-Июл-19, 11:39 (31)
        
        Что такое смутное Там раньше была проблема с докачкой и ограничение на размер, ffirefox, 24-Июл-19, 11:46 (32)
        Умеет, но 1 дефолтный лимит размера файла - 50МБ2 лимит размера файла можно ув, Ivan_83, 24-Июл-19, 15:05 (44)
        
        вы так говорите, как будто их под невинду естьпричем ищи, не ищи - одни недоделк, пох., 24-Июл-19, 12:38 (34)
        
        Поди fuse curl получше будет, хотя наверное не слишком удобно , Ivan_83, 24-Июл-19, 15:06 (45)
        
        я пользую вынужденно davfs2 для не дружбы с mailru - боль, страдания Начиная , пох., 24-Июл-19, 17:21 (65)
        
        Попробуй киалив включить, может поможет У меня есть отдельно стоящая машина с ве, Ivan_83, 24-Июл-19, 19:35 (81)
        
        Простите Вы на виднде только играете, или ещё бывает, что администрируете её В, zurapa, 25-Июл-19, 06:39 (85)
        
        И файлы больше 2гб передаются в обе стороны Встреонным вебдавом Я это тестил на, Ivan_83, 25-Июл-19, 13:43 (87)
        
        Тебя давно не DoSили, забивая диск твоей анонимопомойки под завязку , Аноним, 24-Июл-19, 16:33 (58)
        через https, Аноним, 27-Июл-19, 10:09 (96)
    - речь о протоколе, BlackRot, 24-Июл-19, 14:23 (38)
    - Ааа, это те, кто закрывают уязвимости закрытием issues https github com jedis, НужноНим, 25-Июл-19, 14:10 (88)
  - Через браузер и пару скриптов на вебсервере, если нужна возможность аплоадить , Ivan_83, 24-Июл-19, 02:52 (17) //
    - Гений, вместо использования протокола созданного специально для передачи файлов , Аноним, 24-Июл-19, 08:12 (22)
      - На самом деле протокол так себе Возня с портами, шифрование в виде костыля, о, gogo, 24-Июл-19, 14:25 (39)
      - Так смотря для чего Скачивать всяко удобнее по хттп, листинг директорий у всех в, Ivan_83, 24-Июл-19, 15:08 (46)
    - а если нужна возможность аплоадить хотя бы с примерно тем же удобством что позво, пох., 24-Июл-19, 10:11 (26)
      - интересно - а зачем нужна возможность аплоадить именно анонимно анонимы не засру, ффф, 24-Июл-19, 10:57 (27)
        
        Так можно не всех туда пускать, Аноним, 24-Июл-19, 11:23 (30)
        
        Это как это 8212 не всех пускать Не допустим дискриминации анонимов , Аноним, 25-Июл-19, 09:10 (86)
        
        не, у них тоже ftp уже немодно В 2012м - да, пара каких-то недовзломанных игруш, пох., 24-Июл-19, 11:58 (33)
        
        если не анонимно, то sftp - вполне себе замена ftp, ффф, 24-Июл-19, 12:40 (35)
        
        и легким движением я получаю открытый порт внутри твоего защищенного сегмента р , пох., 24-Июл-19, 14:26 (40)
        
        Длинный след - там наследие Сейчас он вполне в достойном виде, в отличии от того, Ivan_83, 24-Июл-19, 15:11 (48)
        
        20 лет назад была _одна_ уязвимость за все время существования версии 1 0 - и он, пох., 24-Июл-19, 17:00 (61)
        
        Ты не видел тот код и не знаешь что там было Опенссл не обязателен уже минимум г, Ivan_83, 24-Июл-19, 17:12 (63)
        
        я в отличие от тебя как раз видел тот код, где все строки были вручную посчитаны, пох., 24-Июл-19, 18:14 (71)
      - Ты просто не видел современные всякие аплоадеры через браузер На вирустотал чтол, Ivan_83, 24-Июл-19, 15:09 (47)
      - ftp изначально проектировался только для работы напрямую, с натом у него проблем, Аноним, 24-Июл-19, 15:37 (51)
        
        у sip и h323 с натом куда большие проблемы - давайте откажемся от ip-телефонии п, пох., 24-Июл-19, 17:10 (62)
        Блин, на многих Web хостингах не дают шелл доступ - это слишком круто, хватит с, Павел Отредиез, 24-Июл-19, 17:58 (68)
        
        он поди крутой, у него не вебхостинги, у него цельная vps на shittykvm жаль что , пох., 24-Июл-19, 18:15 (72)
        Ну я примерно столько лет и не видел шаред-хостинги, и искренне не понимаю, кому, Аноним, 24-Июл-19, 19:31 (78)
        
        Шелл давали и при этом сильно урезали доступа Ты не увидишь ни один шелл хостин, Павел Отредиез, 25-Июл-19, 15:35 (90)
  - vsftpd , Илья, 24-Июл-19, 15:25 (49)
  - Сделай форму регистрации и и отключи анонимный одступ , Аноним, 24-Июл-19, 18:58 (75)
- Админам локалхоста вобще ничего, кроме стима и wino не нужно, это мы выяснили да, Аноим, 24-Июл-19, 11:12 (29)
proftpd, pureftpd, vsftpd вот никогда их не различал даже не помню, что там стои, вИКТОР АГН, 23-Июл-19, 23:29 (2) //
- vsftpd - вэри секурити - норм, остальное ре-шето, gsdh, 23-Июл-19, 23:44 (3) //
  - vsftpd вроде бы как самый простой, самый лёгкий, а чем меньше лишних возможносте, BlackRot, 23-Июл-19, 23:58 (4) //
    - Если для секурности нужно пользователей виртуальных заделать то в PURE это попро, anonymous, 24-Июл-19, 11:00 (28)
  - CVE-2015-1419 очень секурно, да , Аноним, 24-Июл-19, 15:38 (52)
  - багтрекер глянь, решeто , Аноним, 24-Июл-19, 16:12 (56)
- Можете посмотреть на википедии ихние отличия и уже выбирайте что вам больше подх, BlackRot, 24-Июл-19, 00:00 (6)
- У ProFTPD конфиг в стиле Apache, с тэгами , Аноним, 24-Июл-19, 15:46 (54) //
  - А у pureftpd вообще нет конфига Но какая разница, всё равно они все не нужны , Аноним, 24-Июл-19, 19:33 (80) //
    - Они ОЧЕНЬ помогают, в случае тонкой настройки папок пользователя и распределения, сосед, 26-Июл-19, 13:29 (95)
о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч бы, BlackRot, 24-Июл-19, 00:05 (7)
vsftpd наше всё, Аноним, 24-Июл-19, 00:29 (12)
че прикольный протокол был в конце 90-х начале 2000 сколько серваков было че, Аноним3, 24-Июл-19, 01:12 (13) //
- В конце 90ых уже многие сидели за натом и ftp уже был архаизмом , Аноним, 24-Июл-19, 15:39 (53) //
  - многие , но не все и часто конторки с игрухами или софтом оставляли 22 порт нар, Аноним3, 24-Июл-19, 16:03 (55) //
    - Да нет же Главная проблема это два порта и прочая фигня Кстати, при чем тут 22 , Аноним, 24-Июл-19, 16:26 (57)
      - опечатка привычка на 22 порт а вообще какая разница какой порт, главное пере, Аноним3, 24-Июл-19, 17:39 (67)
      - В Linux два порта элементарно разруливаются и при Nat через RELATED критерий i, Павел Отредиез, 24-Июл-19, 18:05 (69)
        
        эта небольшая проблема уже успешно устранена - нет больше никакого iptables dep, пох., 24-Июл-19, 18:19 (73)
        
        Опять твои влажные ватные мечты Никто не собирается выпиливать iptables в ближа, Аноним, 24-Июл-19, 19:30 (76)
        
        Иди читать особенность работы ftp, про active и passive режимы, про проблемы с н, Аноним, 24-Июл-19, 19:31 (77)
        
        Мля, ну ты хам Мной это прочитано 15 лет назад И на моих ftp всегда работали о, Павел Отредиез, 25-Июл-19, 15:37 (91)
- fxd, Аноним, 24-Июл-19, 16:37 (59)
У кого-то были иллюзии ProFTPD всегда был дыряв, это типа как вордпресс 1 0, Аноним, 24-Июл-19, 06:58 (20)
а вон четвертая ссылка не о том же https www opennet ru opennews art shtml num, ыы, 24-Июл-19, 07:59 (21)
Бгы, вот сейчас в репу homebrew насуют они proftpd юзают для хранения билдов, Аноним, 24-Июл-19, 08:26 (23)
А зачем нужен mod_copy, что будет, если отключить , Аноне, 24-Июл-19, 09:08 (24) //
- низачем Очередное поделие очередного улучшайки, которому не терпится дописаться, пох., 24-Июл-19, 10:08 (25)
Этот модуль позволяет скопировать файл прямо на сервере Интересная команда, жал, Аноним, 24-Июл-19, 12:46 (36)
Хотелось бы голосовалочку, очень интересно кто какой сервер использует или альте, BlackRot, 24-Июл-19, 13:43 (37) //
- sftp, для виртуальных пользователей и форса юзера-группы при заливке на нужные н, Аноним, 24-Июл-19, 15:35 (50) //
  - то есть еще один кривой костыль и дырявая подпорка поверх кривого костыля и дыря, пох., 24-Июл-19, 17:23 (66) //
    - Малыш, иди читать про отличия ftp и sftp Про безопасность, про ключи вместо пар, Аноним, 24-Июл-19, 19:32 (79)
      - малыш здесь ты Ни про s key, ни про tls auth отдельный от data link, ни про то,, пох., 25-Июл-19, 15:14 (89)
За гибкость, как и в случае с exim, приходится платить Не нужна гибкость - став, ALex_hha, 24-Июл-19, 14:57 (41) //
- Шило на мыло Забудь ты уже этот архаизм , Аноним, 24-Июл-19, 16:39 (60) //
  - Ну и чем уж так безопаснее sftp чем ftps Нормальный протокл таки ftp - отказыв, suffix, 24-Июл-19, 17:14 (64) //
    - Ты канал данных только не забудь пошифровать, ага И не забудь, что у тебя passt, Аноним, 24-Июл-19, 19:45 (83)
  - Да у тебя ангельское предубеждение, а значит не рационально Многие люди консерв, Павел Отредиез, 24-Июл-19, 18:09 (70) //
    - Прекрасный пример рационального мышления Увы, я и правда менее рационален испо, Аноним, 24-Июл-19, 19:47 (84)
Дерьмо это как ты себя чувствуешь, а не то на что ты смотришь , Павел Отредиез, 25-Июл-19, 18:57 (93)
в EPEL апдейт появится через пару месяцев, как раз всякие ISPmanager с cPanel по, 354256522452, 26-Июл-19, 07:10 (94)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру