URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 49038
[ Назад ]
Исходное сообщение
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено opennews , 08-Фев-09 05:38 
Спустя 16 месяцев с момента выхода прошлой версии вышел релиз ProFTPD 1.3.2 (http://www.proftpd.org/docs/RELEASE_NOTES-1.3.2) в котором исправлено 120 ошибок, среди которых устранена серьезная уязвимость (http://secunia.com/Advisories/33842/) в модулях mod_sql_mysql и mod_sql_postgres, используя которую злоумышленник может осуществить подстановку SQL кода (SQL injection) в системах, поддерживающих многобайтовые кодировки со  включенной в конфигурации поддержкой NLS (сборка с --enable-nls). Проблеме не подвержены системы с переменной окружения "LANG" выставленной в 8-битную кодировку.


Некоторые наиболее интересные изменения (http://www.proftpd.org/docs/NEWS-1.3.2):


-  По умолчанию активирована поддержка IPv6, для отключения в proftpd.conf нужно указать "UseIPv6 off";

-  Добавлен перевод сообщений на русский язык;

-  Устранены проблемы с установкой кодировки на платформе FreeBSD;

-  По умолчанию значение настройки TimeoutLinger уменьшено с 180  до 30 секунд, так как у бо...

URL: http://www.proftpd.org/
Новость: http://www.opennet.me/opennews/art.shtml?num=20151

Содержание
Сообщения в этом обсуждении
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Аноним , 08-Фев-09 05:38 
Наконец то поправили проблему буквы Я
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Anonymous , 08-Фев-09 11:48 
>Наконец то поправили проблему буквы Я

Устранены проблемы с установкой кодировки на платформе FreeBSD - ты про это чтоли?

"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Аноним , 09-Фев-09 04:52 
вот про это
http://www.google.ru/search?hl=ru&q=proftpd+%D0%B1...
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Keeper , 09-Фев-09 08:56 
>вот про это
>http://www.google.ru/search?hl=ru&q=proftpd+%D0%B1...

Это не баг, это такая фича. Цитирую:

" Все значения октетов прикладных данных кроме \377 (десятичное 255) передаются по транспорту как есть. Октет \377 передаётся последовательностью \377\377 из двух октетов. Это связано с тем, что октет \377 используется на транспортном уровне для кодирования опций. [...] Протокол telnet используется в управляющем соединении FTP, [...] "

См. http://ru.wikipedia.org/wiki/Telnet

P.S. Соответствующие RFC господа пуристы могут нарыть самостоятельно.

"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Andrew , 09-Фев-09 12:57 
Те во всех FTP серверах которые следуют букве RFC НЕРЕАЛЬНО оперировать буквой Я в именах файлов?
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Keeper , 09-Фев-09 22:30 
>Те во всех FTP серверах которые следуют букве RFC НЕРЕАЛЬНО оперировать буквой
>Я в именах файлов?

Вполне реально, в том числе для FTP-серверов с неотключенной обработкой IAC.
Но используемые FTP-клиенты должны знать об этой "фиче" и поддерживать её.

Например, для виндового FAR Manager'а есть настройки "Дублировать FF в командах" и "Убирать двойные FF из PWD", находятся в Параметры - Параметры внешних модулей - FTP-клиент - Расширенные параметры.

"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено chuvy , 09-Фев-09 11:23 
>Наконец то поправили проблему буквы Я

Ура!

- Bug 3064 - Better handling of 0xFF character for Cyrillic, non-UTF8 charsets.
  These character sets use the same value as the Telnet IAC character in
  the alphabet.  RFC959 states that FTP control messages must support Telnet
  characters; this requirement causes problems for the character sets.
  This the RFC959 requirement is relaxed if --enable-nls is used, and if
  one of the problematic character sets is configured.

"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Осторожный , 08-Фев-09 16:49 
Я уже собрался ждать когда в портах в FreeBSD появится, а тут:
Релиз был 5-го числа
А 6-го числа добавили в FreeBSD: http://www.freshports.org/ftp/proftpd/
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено ra9ftm , 09-Фев-09 08:48 
хачу пакет для Дебиана!!
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Аноним , 09-Фев-09 11:50 
Скажите у кого-нибудь еще есть проблема с этой весией proftpd с --enable-nls и хранением юзеров в Postgres?
Если в конфиге включить UseEncoding koi8-r cp1251 то proftpd пишет в лог ошибку:
unrecoverable backend error:
(mod_sql_postgres/4.0.4) ERROR:  invalid value for parameter "client_encoding":
"cp1251"
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено Аноним , 10-Фев-09 08:36 
А зачем использовать перекодировку?
"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено gibbon , 10-Фев-09 12:07 
>А зачем использовать перекодировку?

На сервере локаль koi8-r а cp1251 отдаю для виндовых клиентов

"Доступен релиз ProFTPD 1.3.2 с устранением уязвимости"
Отправлено pilmenb , 16-Мрт-09 08:02 
аоы и мне для debian а в sid ветке он имееться ? ^_^