Спустя почти три года с момента прошлой версии доступен (http://scarybeastsecurity.blogspot.com/2015/07/vsftpd-303-re...) новый выпуск надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 3.0.3 (https://security.appspot.com/vsftpd.html), в котором представлено несколько улучшений, связанных с организацией шифрованных каналов передачи данных и предотвращения возможных атак при использовании FTP поверх SSL. Добавлена поддержка протокола обмена ключами Диффи-Хеллмана на эллиптических кривых (ECDHE), в список предлагаемых по умолчанию шифров добавлен ECDHE-RSA-AES256-GCM-SHA384.

Реализована защита от нескольких потенциальных проблем, которые можно использовать для организации MITM-атак. Например, обеспечено блокирование активности, указывающей на попытки манипуляции запросами с использованием разных протоколов, которые могут применяться при организации атак на системы, использующие один сертификат для FTP и HTTP. Для защиты от данного вида атак vsftpd  теперь сбрасывает соединение при выявлении использования семантики HTTP-команд. Кроме того, добавлена защита от атак, направленных на повторное использование установленных каналов связи, введены более жесткие требования к закрытию SSL-соединений.

URL: http://scarybeastsecurity.blogspot.com/2015/07/vsftpd-303-re...
Новость: http://www.opennet.me/opennews/art.shtml?num=42667

• Выпуск vsftpd 3.0.3,Аноним, 12:25 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Аноним, 13:04 , 26-Июл-15
    • Выпуск vsftpd 3.0.3,Аноним, 14:51 , 26-Июл-15
      • Выпуск vsftpd 3.0.3,cmp, 17:19 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Аноним, 13:41 , 26-Июл-15
    • Выпуск vsftpd 3.0.3,Аноним, 16:37 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Чисто плотный, 05:50 , 28-Июл-15
• Выпуск vsftpd 3.0.3,Аноним, 13:03 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Аноним, 13:48 , 26-Июл-15
• Выпуск vsftpd 3.0.3,Аноним, 20:10 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Michael Shigorin, 22:58 , 26-Июл-15
• Выпуск vsftpd 3.0.3,Аноним, 20:15 , 26-Июл-15
  • Выпуск vsftpd 3.0.3,Stax, 20:44 , 26-Июл-15
• Выпуск vsftpd 3.0.3,Аноним, 08:59 , 27-Июл-15
  • Выпуск vsftpd 3.0.3,arisu, 09:10 , 27-Июл-15
  • Выпуск vsftpd 3.0.3,YetAnotherOnanym, 15:20 , 27-Июл-15

Извините за немного офтоп: по ssl этот протокол шестидесятых лучше проходит нат или фиг там?

> Извините за немного офтоп: по ssl этот протокол шестидесятых лучше проходит нат
> или фиг там?

А в чём проблема при прохождении NAT в пассивном режиме?

В кривых настройках режима и ната.

А нифига, если спрятать фтп за нат и ходить через проброс портов, то нужно указывать внешний ip в конфиге, и только один, то есть динамика или несколько внешних сетей уже никак, в отдельный netns упаковать не получится без прописывания маршрутов и прочей ерунды.

> протокол шестидесятых

Создан в: 1971 г (https://ru.wikipedia.org/wiki/FTP)

> лучше проходит нат

PASSIVE (PASV)

            This command requests the server-DTP to "listen" on a data
            port (which is not its default data port) and to wait for a
            connection rather than initiate one upon receipt of a
            transfer command.  The response to this command includes the
            host and port address this server is listening on.
(https://tools.ietf.org/html/rfc959)

Отличный протокол: простой, функциональный и главное - ЗАКОНЧЕННЫЙ. Отлично выполняет свою функцию несмотря на свою простоту. Можно использовать даже через telnet в интерактивном режиме.

> Отлично выполняет свою функцию благодаря своей простоте

fixed

Вроде вообще не проходит. С обычным FTP фаервол может уметь connection tracking, а с SSL увы и ах, всё ж зашифровано. Соответственно, когда надо из-за ната попасть на FTP-сервер за натом, то всё, опаньки.

> сбрасывает соединение при выявлении использования семантики HTTP-команд

А что, злоумышленник, типа, идиот и его скрипты в соединениях путаются?

Злоумышленники со скриптами обычно более смышленые, подкованы и собраны. Это сделано из-за тупых програм (проприетарных и односложных, которые быстро набыDлокодили ради бабла) обращающихся на ftp-сервис по http-протоколу что приводит к зависанию соединения. Теперь проблема тупых програм и их авторов решена вводом "защиты от дурака" на vsftpd.

vsftpd такой vs, что фиксы s выходят аж раз в 3 года?

> vsftpd такой vs, что фиксы s выходят аж раз в 3 года?

Что-то я в нём не шибко-то припомню этих самых фиксов s; а улучшения обычно есть куда приложить со временем, что и происходит.

я буквой "я" косяк так и остался или исправили?

Это не косяк, это документированная фича, следующая из стандарта протоколов FTP/telnet. Переходите уже на UTF-8 и не будет проблем. Буква "я" может глючить только в cp1251, кому он сейчас вообще нужен?

dвы не поверите сколько контор сидят на старых компах и винде ХР, и пользователю тетеньке открывающую ftp в проводнике хрен объяснишь что такое UTF8 .. да оно ей и не надо

> пользователю тетеньке открывающую ftp в проводнике

ей не нужен ftp. если она должна зачем‐то лезь куда‐то по ftp, гуаноадмин в этой гуаноконторе даже ниже днища.

Если FTP-сервер ваш, то можно поднять в том же каталоге WebDAV, XP его умеет. Если не ваш (как у меня было, когда рекламщица не могла ролик на радиостанцию перегнать) - тут увы...