Спустя две недели после обнаружения прошлой (http://www.opennet.me/opennews/art.shtml?num=8799) удаленной уязвимости, опубликована информация (http://secunia.com/advisories/23141/) о новой проблеме, так же как и в первом случае позволяющей удаленному злоумышленнику запустить свой код на сервере.
Проблеме подвержен модуль mod_tls, в качестве временного решения можно отключить его в конфигурации.
Лишь спустя 18 дней после поступления информации о первой уязвимости, была выпущена (http://bugs.proftpd.org/show_bug.cgi?id=2858) новая версия ProFTPD 1.3.0a (http://www.proftpd.org/), в которой исправлены три последние проблемы безопасности (2 возможности удаленного запуска кода и 1 проблема (http://secunia.com/advisories/22821/) дающая возможность совершения DoS атаки).
URL: http://bugs.proftpd.org/show_bug.cgi?id=2858
Новость: http://www.opennet.me/opennews/art.shtml?num=9042
ЗАДОЛБАЛИ !!!!
все счас пропатчим и если еще один баг найдут уйду нахер на vsftp
Я после выхода первой уязвимости перешел на pure-ftpd.
так я непонял... версия 1.3.0a уже избавлена от дыры в mod_tls ? или нет???
неа
изначально pure-ftpd и ничто другое
pure-ftpd
прям, проблема... вы сильно тот mod_tls юзаете?
И никуда, и не собираюсь переезжать!
Такой функционал еще поискать надо. А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных, мне не нужен. И еще говорят о какой-то безопасности.
> А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных,Вы ничего не путаете?
В vsftpd есть файл например vsftpd.user_list и директивы
userlist_deny=...
userlist_enable=...Смотрим в ман:
userlist_deny
This option is examined if userlist_enable is activated. If you set this setting to NO, then users will be denied login unless they are explicitly listed in the file specified by userlist_file. When login is denied, the denial is issued before the user is asked for a password.
Default: YESuserlist_enable
If enabled, vsftpd will load a list of usernames, from the filename given by userlist_file. If a user tries to log in using a name in this file, they will be denied before they are asked for a password. This may be useful in preventing cleartext passwords being transmitted. See also userlist_deny.
Default: NOНе надо грязи, в общем. Можно в нем запретить всех пользователей и разрешить только избранных, для этого ставится userlist_deny=NO, userlist_enable=YES, и в файле указанном в userlist_file перечисляете пользователей, которым можно пользоваться ftp.
Читайте маны, они рулез.
>> А ваш vsftp, у которого нельзя запретить всех пользовалелей, а разрешить избранных,
>
...
>Не надо грязи, в общем. Можно в нем запретить всех пользователей и
>разрешить только избранных, для этого ставится userlist_deny=NO, userlist_enable=YES, и в файле
>указанном в userlist_file перечисляете пользователей, которым можно пользоваться ftp.
>Читайте маны, они рулез.Видимо я не прав. Хотя, когда я изучал документацию не нашел как это сделать. Может тогда была старая версия? Может не внимательно изучал...
надеюсь баг не последний
У ProFTPD довольно слабая команда разработчиков
10 дней назад об ошибке mod_tls сказали - проигнорировали
винить можно только себя
почитайте на досуге:
http://blogs.23.nu/ilja/stories/13474/
http://elegerov.blogspot.com/2006/11/while-working-with-prof...А тут они "оправдания" себе ищут ну и шутят немного, как же без этого:
http://sourceforge.net/mailarchive/forum.php?thread_id=31128...
я вам больше скажу - у proftpd дырок меньше всего почем-то. в отличие от остальных софтин. если народ так закипишевал по поводу трех несчастных дырок, что же должно быть, когда каждый ень находятся очередные php_injection и прочая фигня во фсяких движках форумов и проче\й мутотени?
>я вам больше скажу - у proftpd дырок меньше всего почем-то
ерунда, сравнивать надо с другими FTP серверами - pureftpd,vsftpd.. и тд.
Дырки будут везде и всегда.
А перенастраивать продакшен-сервера для перехода на другой фтп будет очень накладно.P.S. mod_tls не стоит.
P.P.S. Основные проблемы фтп-серверов - защита аплоуда и перебора простых паролей ботами.
pureftpd рутается предельно просто.Перебирай и угадывай. Нет проблем. Кик при траверсе рута, а шалить в пределах квоты. Пусть хакер хоть кол себе на башке вытешет внутри отведенного ему рута.
Очень надёжно. Советую перебегать на pureftpd.
>Дырки будут везде и всегда.Так пытаются оправдать софт написанный абсолютно некомпетентными людьми. Сравните софт подобный proftpd и всякие поделки на PHP к примеру с vsftpd или postfix, небо и земля.
Сначала дыры в proftpd можно было списать на то что его создали студенты первокурсники, но после того как дыры продолжают всплывать постоянно уже скоро как 10 лет, видимо руки у команды proftpd растут не из того места, на случайный недосмотр списать уже не получается. Учиться те товарищи тоже не желают, но продолжают выдавать ударными темпами фичи.
Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить его на vsftpd, но не смог разрешить анонимный вход только с определенных ip, а по парольному доступу открыть всем.
>Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить
>его на vsftpd, но не смог разрешить анонимный вход только с
>определенных ip, а по парольному доступу открыть всем.Делается элементарно при помощи tcp-wrapper-a
Допустим у нас есть сеть 192.168.0.0/24, с которой надо что-то разрешить, а для остальных - запретить. Редактируем файл /etc/hosts.allowvsftpd: 192.168.0.0/255.255.255.0, 127.0.0.1: setenv VSFTPD_LOAD_CONF /etc/vsftpd-int.conf : nice 15
vsftpd: ALL : nice 15В результате при коннекте из нашей сети будет выполняться конфиг /etc/vsftpd-int.conf, а при коннекте из остальных сетей - /etc/vsftpd.conf Ну а прописать в разных конфигах разные фичи я думаю для вас проблем не составит. У меня так регулируется скорость:
cat /etc/vsftpd-int.conf
# Этот конфиг для внутренних нужд - скорость по максимуму
anon_max_rate=0
local_max_rate=0
cat /etc/vsftpd.conf
<тут пропущен здоровый кусок конфига>
anon_max_rate=32000
local_max_rate=64000
>>Очень давно использую proftpd, функционалом, который он обеспечивает, доволен. Как-то хотел заменить
>>его на vsftpd, но не смог разрешить анонимный вход только с
>>определенных ip, а по парольному доступу открыть всем.
>
>Делается элементарно при помощи tcp-wrapper-a
>Допустим у нас есть сеть 192.168.0.0/24, с которой надо что-то разрешить, а
>для остальных - запретить. Редактируем файл /etc/hosts.allowСпасибо за подсказку, многим пригодится! Я запускаю proftpd и vsftpd в режиме standalone. Так как по ftp идет много обращений и запускать их через inetd будет очень жирно. От себя скажу, vsftpd хорош для простой отдачи файлов и обычной конфигурации. Хостеры очень любят proftpd за количество фич и гибкость настройки, наверное к формату конфигурационного файла привыкли =) А тем, кто легко меняет ftp-сервера, не нужна эта гибкость, просто в свое время хавту под руку подвернулась с рассказом о его настройке, а теперь глотки дерут ;-)
>видимо руки у команды proftpd растут
>не из того места, на случайный недосмотр списать уже не получается.Товарищи, кто что хочет, тот то и юзает, а насчет рук не из того места, товарищу Анониму не мешало бы вправить себе мозги! Сначала сам что-нить толковое напиши, отдай на использование сообществу opensource, поддерживай в течение 10 лет, бесплатно причем(!!!), совершенствуй, вот тогда посмотрим у кого откуда руки растут.
Проблема в том, что большинство крикунов, которые тут собрались, никогда в жизни ничего сами не создали, зато спеси и критики хватает!
>Сначала сам что-нить толковое напиши, отдай на использование сообществу opensource, поддерживай
>в течение 10 лет, бесплатно причем(!!!), совершенствуй, вот тогда посмотрим у
>кого откуда руки растут.
>
>Проблема в том, что большинство крикунов, которые тут собрались, никогда в жизни
>ничего сами не создали, зато спеси и критики хватает!Согласен, "критиковать каждый может", но если в течении долгого времени у тебя не получается дать людям качественный программный продукт, то надо завязывать с проектом. Сегодня трудность выбора ПО для решения какой-то задачи состоит в том, что программ много, но большинство из них являются мусором. Этот мусор не только бесполезен, но и приносит вред так приходится тратить время чтобы его изучить, оценить и отбросить.
Где инновации ? GNU-шники прилипли к языку C и нет никаких надежд что они когда-нибудь догадаются что на нём трудно писать надёжные программы.
как установить без Mod_tls и нафига он нужен то?
нафига.. понял...а вто как без него установить?
>нафига.. понял...а вто как без него установить?Патч для mod_tls можно взять тут:
Из этой дискусии и по себе я понял одно: vsftpd более сложен в конфигурации, т.е. в нем не все так тривиально настраивается.
>Из этой дискусии и по себе я понял одно: vsftpd более сложен
>в конфигурации, т.е. в нем не все так тривиально настраивается.Мне кажется, что вы тут заблуждаетесь. Просто возьмите и попробуйте настроить его на своей машине - на самом деле это совсем не сложно. В каталоге с исходниками есть доки с типовыми примерами. Все что нужно - это их внимательно посмотреть и понять.
нах патч... я уже запутлся это тот патч или предпоследний...
Это патч на mod_tls к версии 1.3.0a
ХЕХ, я уже два года на vsftpd, нерканий нет.. прикольный серв.
ЗА vsftpd и qmail в плане безопасности душа не болит, что нельзя сказать о других сервисах, которые приходиться поддерживать.
скажите, пожалуйста .. тот proftpd-1.3.0_4 который сейчас в портах - пропатчен или нет?
Насколько я понимаю proftpd 1.3.0_4 не пропатчен
грустна ..
Руки дойдут - сделаю порт и пошлю