Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей

02.04.2011 10:37

Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e в котором исправлена 21 ошибка. В новой версии устранено две уязвимости:

Уязвимость в реализации команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
Уязвимость в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.

Другие исправления:

Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
Откорректирован вывод некоторых предупреждающих сообщений;
Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;

Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4, в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/30107-ProFTPD

Ключевые слова: ProFTPD, ftp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, bircoph (ok), 11:20, 02/04/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А ведь самая главная уязвимость осталась неисправленной: ProFTPD. Нужно vsftpd использовать — и всё будет хорошо.

2.2, Sadok (??), 11:51, 02/04/2011 [^] [^^] [^^^] [ответить]	+1 +/–
уж сколько раз твердили миру...

3.4, x (?), 13:14, 02/04/2011 [^] [^^] [^^^] [ответить]	–1 +/–
vsftpd может виртуальных юзеров?(в простом plain text файле)

4.5, Sadok (??), 14:22, 02/04/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> vsftpd может виртуальных юзеров?(в простом plain text файле)

может.

5.20, гафт (?), 17:50, 04/04/2011 [^] [^^] [^^^] [ответить]	+/–
ссылку на документацию дайте пожалуйста, где описывается как это сделать.

6.21, Sadok (??), 17:55, 04/04/2011 [^] [^^] [^^^] [ответить]	+/–
> ссылку на документацию дайте пожалуйста, где описывается как это сделать. http://www.google.ru/search?q=vsftpd+virtual+users&ie=utf-8&oe=utf-8&aq=t&rls

3.16, анон (?), 01:32, 03/04/2011 [^] [^^] [^^^] [ответить]	+/–
>уж сколько раз твердили миру... Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку (неконтролируемый глоббинг).

4.18, Sadok (??), 12:08, 03/04/2011 [^] [^^] [^^^] [ответить]	+/–
>>уж сколько раз твердили миру... > Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую > дырку (неконтролируемый глоббинг). это бага в libc, а не в реализации сервера. дырку тут же заткнули.

2.3, V (??), 12:21, 02/04/2011 [^] [^^] [^^^] [ответить]	+5 +/–
до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )

3.6, Аноним (-), 14:29, 02/04/2011 [^] [^^] [^^^] [ответить]	+/–
> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть ) А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос не флейма ради. Просто из того, что я вижу и сам юзаю - в 99% случаев - ftp это зачастую просто анонимный доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

4.8, odus (ok), 16:47, 02/04/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> не флейма ради. Просто из того, что я вижу и сам
> юзаю - в 99% случаев - ftp это зачастую просто анонимный

ключевая фраза - "сам вижу и сам юзаю"
а так как больше ничего не видел
то и результат ясен ...

4.9, Аноним (-), 16:48, 02/04/2011 [^] [^^] [^^^] [ответить]	+/–
Угу. http://phdru.name/Russian/Software/ftp_vs_http.html

4.12, HFSC (??), 21:36, 02/04/2011 [^] [^^] [^^^] [ответить]	+/–
>> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть ) > А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос > не флейма ради. Просто из того, что я вижу и сам > юзаю - в 99% случаев - ftp это зачастую просто анонимный > доступ к файлообменникам. И то, его оттуда успешно вытесняет http. Преимущество профтпд в модульности

4.19, rshadow (?), 13:40, 03/04/2011 [^] [^^] [^^^] [ответить]	–1 +/–
Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.

3.10, Аноним (-), 20:02, 02/04/2011 [^] [^^] [^^^] [ответить]	–3 +/–
Очень фичастый ... паравоз. В век самолётов - не нуна!

3.13, bircoph (ok), 21:59, 02/04/2011 [^] [^^] [^^^] [ответить]	+/–
Каких именно функций в vsftpd вам не хватает?

2.15, анон (?), 00:50, 03/04/2011 [^] [^^] [^^^] [ответить]	+/–
> Нужно vsftpd использовать — и всё будет хорошо. proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.

2.22, SHRDLU (ok), 14:29, 05/04/2011 [^] [^^] [^^^] [ответить]	+/–
> А ведь самая главная уязвимость осталась неисправленной: ProFTPD. > Нужно vsftpd использовать — и всё будет хорошо. Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot. Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.

3.23, Аноним (-), 16:15, 05/04/2011 [^] [^^] [^^^] [ответить]

+/–

> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
> им пользовались единицы. Как пошел dovecot в массы - так и
> в нём стали находить дыры и баги.

Ссылку на хоть одну опасную уязвимость в dovecot в студию. Там только несущественные мелочи до сих пор находили, которые максимум к отвалу текущей сессии могли привести.

PS. http://secunia.com/advisories/search/?search=dovecot

4.24, SHRDLU (ok), 18:02, 05/04/2011 [^] [^^] [^^^] [ответить]

+/–

>> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
>> им пользовались единицы. Как пошел dovecot в массы - так и
>> в нём стали находить дыры и баги.
> Ссылку на хоть одну опасную уязвимость в dovecot в студию.

Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь.
Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.

1.11, Аноним (11), 20:18, 02/04/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случайно? ато патчилось оно только с хорошими пинками ...

2.14, анон (?), 00:48, 03/04/2011 [^] [^^] [^^^] [ответить]	+/–
Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться? А с utf-8 там всё хорошо, емнип.

1.17, Аноним (-), 08:58, 03/04/2011 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
С перекодировкой давно все отлично. Мдуль NLS.

1.25, net (??), 20:23, 20/04/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего! я думаю что все_ таки iptables и подобные фильтры должны защитить...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: