The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критическая уязвимость в ProFTPd"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в ProFTPd"  +/
Сообщение от opennews (??), 23-Июл-19, 23:18 
В ftp-сервере ProFTPD выявлена (https://tbspace.de/cve201912815proftpd.html) опасная уязвимость (CVE-2019-12815 (https://security-tracker.debian.org/tracker/CVE-2019-12815)), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен (https://nvd.nist.gov/vuln/detail/CVE-2019-12815) уровень опасности 9.8 из 10, так как она может примеряться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP.


Уязвимость вызвана (http://bugs.proftpd.org/show_bug.cgi?id=4372) некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной (https://www.opennet.me/opennews/art.shtml?num=42015) в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен (https://github.com/proftpd/proftpd/pull/816) только несколько дней назад.


Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. Исправление доступно в виде патча (https://github.com/proftpd/proftpd/pull/816). В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora (https://bodhi.fedoraproject.org/updates/?releases=F30&type=s...и остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-12815), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=1142281), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2... FreeBSD (http://www.vuxml.org/freebsd/), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1732367) (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy).

URL: https://tbspace.de/cve201912815proftpd.html
Новость: https://www.opennet.me/opennews/art.shtml?num=51158

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в ProFTPd"  –12 +/
Сообщение от Аноним (1), 23-Июл-19, 23:18 
Бесполезный комментарий про устаревший протокол, не имеющий отношения к делу.
Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от BlackRot (?), 24-Июл-19, 00:07 
Какую альтернативу предложите?
Ответить | Правка | Наверх | Cообщить модератору

9. "Критическая уязвимость в ProFTPd"  –7 +/
Сообщение от Аноним (9), 24-Июл-19, 00:13 
PureFTPD
Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (10), 24-Июл-19, 00:18 
Сервер, конечно, хороший, но, думается, имелась ввиду альтернатива протоколу
Ответить | Правка | Наверх | Cообщить модератору

11. "Критическая уязвимость в ProFTPd"  +7 +/
Сообщение от Аноним (11), 24-Июл-19, 00:28 
sftp используй, не дурей.
Ответить | Правка | Наверх | Cообщить модератору

14. "Критическая уязвимость в ProFTPd"  +2 +/
Сообщение от Аноним (14), 24-Июл-19, 02:19 
А анонимную загрузку там как сделать?
Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (15), 24-Июл-19, 02:44 
WebDAV можно анонимам раздать или HTTP API
Ответить | Правка | Наверх | Cообщить модератору

16. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 02:51 
К WebDAV под венду нормальный клиентов нет, так чтобы из коробки или хотя бы отдельно не искать по сомнительным помойкам с кряками.
Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (11), 24-Июл-19, 02:54 
S3 https://min.io/download#/windows ?
Ответить | Правка | Наверх | Cообщить модератору

42. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:01 
Не знаю что это но клиента под венду там не видать.
Ответить | Правка | Наверх | Cообщить модератору

74. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (74), 24-Июл-19, 18:57 
Я не пойму чем вам браузер не подходит зашли обычным PUT и все.
Написать формочку может каждый школьник, студент (я уже не говорю о диванных специалистах с 20 летнимжопытом).
Ответить | Правка | Наверх | Cообщить модератору

82. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 19:37 
Не мне.
Я не умею формочку с пут, и этот пут там ещё кто то должен корректно отработать.
Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (11), 24-Июл-19, 02:56 
Syncthing https://syncthing.net/images/screenshot.jpg
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

43. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:02 
Это не похоже на вебдав клиента под венду :)
Ответить | Правка | Наверх | Cообщить модератору

31. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (31), 24-Июл-19, 11:39 
Если мне память не изменяет, винда сама аж из коробки умеет проводником ходить в WebDAV.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

32. "Критическая уязвимость в ProFTPd"  +/
Сообщение от ffirefox (?), 24-Июл-19, 11:46 
Что такое смутное... Там раньше была проблема с докачкой и ограничение на размер файла не болшье 2Gb. Уже исправили? А так, без проблем плагины к командерам делали свое дело.
Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:05 
Умеет, но:
1. дефолтный лимит размера файла - 50МБ
2. лимит размера файла можно увеличить до 2гб через реестр
3. оно качает файл целиком во временную папку и только потом отдаёт хэндл для запросившего приложения
4. "малость" глючная реализация, настолько что пришлось nginx обкладывать костылями.

Если интересно подобробнее читай тут: http://netlab.dhis.org/wiki/ru:software:nginx:webdav

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

34. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 12:38 
вы так говорите, как будто их под невинду есть

причем ищи, не ищи - одни недоделки и недоразумения.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

45. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:06 
Поди fuse+curl получше будет, хотя наверное не слишком удобно.
Ответить | Правка | Наверх | Cообщить модератору

65. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 17:21 
> Поди fuse+curl получше будет, хотя наверное не слишком удобно.

я пользую (вынужденно) davfs2 для (не)дружбы с mailru - боль, страдания.
Начиная с того что оно single-threaded и заканчивая банальным неумением отмонтировать долго висевшую шару (что особенно прекрасно в эпоху systeм-даунов, сервер может перезагрузиться примерно никогда)

с виндой оно как-то попроще будет (хотя таки да- я бы не стал для нее поднимать этот сервис на nginx)

Ответить | Правка | Наверх | Cообщить модератору

81. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 19:35 
Попробуй киалив включить, может поможет.

У меня есть отдельно стоящая машина с вендой которой надо бы давать доступ к шаре с семейными фотками, и чтобы туда посторонние не лазали тоже надо.
nginx всё равно там есть.
Поэтому вебдав самое простое и прозрачное что получилось.
Будь там фря/линукс я бы просто sshfs примонтировал.

Ответить | Правка | Наверх | Cообщить модератору

85. "Критическая уязвимость в ProFTPd"  +/
Сообщение от zurapa (ok), 25-Июл-19, 06:39 
Простите. Вы на виднде только играете, или ещё бывает, что администрируете её? Вы в корне ошибаетесь. Я на винде стандартными её средствами цепляюсь к яндекс диску по webdav, всё прекрасно работает. Не сочиняйте.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

87. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 25-Июл-19, 13:43 
> Простите. Вы на виднде только играете, или ещё бывает, что администрируете её?
> Вы в корне ошибаетесь. Я на винде стандартными её средствами цепляюсь
> к яндекс диску по webdav, всё прекрасно работает. Не сочиняйте.

И файлы больше 2гб передаются в обе стороны? Встреонным вебдавом?
Я это тестил на вин7 и 2k8r2, может и допилили.

Ответить | Правка | Наверх | Cообщить модератору

58. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (58), 24-Июл-19, 16:33 
> А анонимную загрузку там как сделать?

Тебя давно не DoSили, забивая диск твоей анонимопомойки под завязку?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

96. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (96), 27-Июл-19, 10:09 
через https
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

38. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от BlackRot (?), 24-Июл-19, 14:23 
речь о протоколе
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

88. "Критическая уязвимость в ProFTPd"  +/
Сообщение от НужноНим (?), 25-Июл-19, 14:10 
Ааа, это те, кто закрывают уязвимости закрытием issues? https://github.com/jedisct1/pure-ftpd/issues/106
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "Критическая уязвимость в ProFTPd"  –4 +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 02:52 
Через браузер и пару скриптов на вебсервере, если нужна возможность аплоадить.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

22. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (22), 24-Июл-19, 08:12 
Гений, вместо использования протокола созданного специально для передачи файлов использовать костыли ещё более сомнительной эффективности.
Ответить | Правка | Наверх | Cообщить модератору

39. "Критическая уязвимость в ProFTPd"  +/
Сообщение от gogo (?), 24-Июл-19, 14:25 
На самом деле протокол так себе... Возня с портами, шифрование в виде костыля, однопоточность и т.п.
Другое дело, что безусловно лучшего никто не смог предложить за все это время.
Люди пользуются. Работает ведь.
Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:08 
Так смотря для чего.
Скачивать всяко удобнее по хттп, листинг директорий у всех вебсерверов из коробки.
А заливать - не слишком часто надо.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

26. "Критическая уязвимость в ProFTPd"  +3 +/
Сообщение от пох. (?), 24-Июл-19, 10:11 
а если нужна возможность аплоадить хотя бы с примерно тем же удобством что позволяет банальный cli ftp клиент (то есть хотя бы видеть прогресс-индикатор) - то пара скриптов превращается, превращается - в элегантную дыру, требующую, внезапно, модификации серверного кода, хостинга нетривиального (и уже разок поломанного, правда, беда, как обычно, в пользователях) скриптового bloatware и т д - потому что браузеры ниасилили даже того, что умел какой-нибудь ncftp прошлого века. Макаки слишком торопились за новым фуфлом, доделывать старое им было некогда.

Но ftp, конечно же, немодно-немолодежно, и, конечно же, очень небезопасТно.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

27. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от ффф (?), 24-Июл-19, 10:57 
интересно - а зачем нужна возможность аплоадить именно анонимно?
анонимы не засрут весь сервер чем попало?
Ответить | Правка | Наверх | Cообщить модератору

30. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (30), 24-Июл-19, 11:23 
Так можно не всех туда пускать
Ответить | Правка | Наверх | Cообщить модератору

86. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (86), 25-Июл-19, 09:10 
Это как это — не всех пускать? Не допустим дискриминации анонимов!
Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 11:58 
не, у них тоже ftp уже немодно. В 2012м - да, пара каких-то недовзломанных игрушек, чья-то шифрованная порнуха и еще что-то по мелочи образовались за пару недель (сервер был не совсем сервер, и места на том диске, увы, на больше не хватило). В 15м уже ничего кроме вялых попыток поломать сам сервис.

Только почему обязательно - анонимно? ftpd вполне понимает персонализированный доступ, даже с возможностью контроля оного самим пользователем. С http - все те же проблемы с докачкой, максимальным размером, прогресс-индикатором и т д, плюс обеспечение доступности понаапложеного и при этом не превращения сервера в варезосвалку - на тебе, а не встроено в сам сервис.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

35. "Критическая уязвимость в ProFTPd"  +/
Сообщение от ффф (?), 24-Июл-19, 12:40 
если не анонимно, то sftp - вполне себе замена ftp
Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 14:26 
и легким движением я получаю открытый порт внутри твоего защищенного сегмента (разумеется, ты не вспомнил об этом, когда настраивал мне доступ).
sftp _никогда_не_был_ предназначен для недоверенных (совершенно необязательно при этом - анонимных) пользователей, поскольку является расширением ssh, это _шелл_ на твой хост, умение передавать файлы в нем пришито грубыми стежками для упрощения его основной задачи. Костыли и подпорки, пона%$еверченные поверх в попытках как-то ограничить возможности только этой передачей - вообще слова доброго не стоят.

И не говоря уже о том, что сам openssh имеет длинный шлейф уязвимостей и разрабатывается полными неадекватами.


Ответить | Правка | Наверх | Cообщить модератору

48. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:11 
Длинный след - там наследие.
Сейчас он вполне в достойном виде, в отличии от того что было 20 лет назад когда его открыли.
Ответить | Правка | Наверх | Cообщить модератору

61. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 17:00 
> Длинный след - там наследие.
> Сейчас он вполне в достойном виде, в отличии от того что было
> 20 лет назад когда его открыли.

20 лет назад была _одна_ уязвимость за все время существования версии 1.0 - и она была практически в каждой программе, использующей syslog() - который оказался дыряв by design.

Все остальные - принесены именно новыми-модными разработчиками.
Включая совсем феноменальную с roaming-кодом, который написать - забыли, но дыру - не забыли.

И не забывая весь миллион связанных с openssl, без которого оригинал обходился, поскольку ему не нужен ssl.


Ответить | Правка | Наверх | Cообщить модератору

63. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 17:12 
Ты не видел тот код и не знаешь что там было.
Опенссл не обязателен уже минимум год как чтобы собрать и работало, да и не было с ним дыр, от туда просто алгоритмы юзались.
Ответить | Правка | Наверх | Cообщить модератору

71. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от пох. (?), 24-Июл-19, 18:14 
> Ты не видел тот код и не знаешь что там было.

я в отличие от тебя как раз видел тот код, где все строки были вручную посчитаны - ни одной strncpy (потому что работать могло на юниксах, а не только в новом-стандарте)
С единственной ошибкой на единичку, скорее всего - unexploitable. И вот той, второй, где от системной функции никто не ожидал подвоха.
Ту мерзость, которая сейчас - тоже видел, выковыривая из нее "roaming". Оп..х..льный код. Выкрасить и выбросить, это бесполезно чинить.

> Опенссл не обязателен уже минимум год как чтобы собрать и работало, да

правда будет работать полтора шифроалгоритма - наиболее сомнительные из всех, ага.
"как минимум год" очень забавно слышать от продукта, захваченного в 2002м.

> и не было с ним дыр, от туда просто алгоритмы юзались.

дебиановскому майнтейнеру это расскажи. "просто алгоритмы", ага, дыры ж они не в просто алгоритмах, а где-то в thin air.

Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:09 
Ты просто не видел современные всякие аплоадеры через браузер.
На вирустотал чтоли сходи посмотри.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

51. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (51), 24-Июл-19, 15:37 
ftp изначально проектировался только для работы напрямую, с натом у него проблемы. Протокол устарел до того, как ты первый раз сел за комп. За последние лет 15 я уже и не видел использования этого архаизма, есть sftp и с ним все хорошо.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

62. "Критическая уязвимость в ProFTPd"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 17:10 
> ftp изначально проектировался только для работы напрямую, с натом у него проблемы.

у sip и h323 с натом куда большие проблемы - давайте откажемся от ip-телефонии потому что, видите ли, у рукожопиков-современных натописателей - "проблемы".

> есть sftp и с ним все хорошо.

угу, с обходом файрволов особенно хорошо - причем без знания об этом владельца. реееедкая ips умеет его на этом поймать.

Ответить | Правка | Наверх | Cообщить модератору

68. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Павел Отредиезemail (?), 24-Июл-19, 17:58 
Блин, на многих  Web хостингах не дают шелл доступ - это слишком круто, хватит с вас и ftp. А ты говоришь не видел 15 лет, есть и достаточно много.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

72. "Критическая уязвимость в ProFTPd"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 18:15 
> Блин, на многих  Web хостингах не дают шелл доступ - это

он поди крутой, у него не вебхостинги, у него цельная vps на shittykvm.

жаль что то что на ней крутится, не нужно совершенно никому.

Ответить | Правка | Наверх | Cообщить модератору

78. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (58), 24-Июл-19, 19:31 
> Блин, на многих  Web хостингах не дают шелл доступ - это слишком круто, хватит с вас и ftp. А ты говоришь не видел 15 лет, есть и достаточно много.

Ну я примерно столько лет и не видел шаред-хостинги, и искренне не понимаю, кому они сейчас могут быть нужны. Впрочем, даже тогда шелл давали.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

90. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Павел Отредиезemail (?), 25-Июл-19, 15:35 
Шелл давали и при этом сильно урезали доступа. Ты не увидишь ни один шелл хостинг из дефолтной инсталляции.
Ответить | Правка | Наверх | Cообщить модератору

49. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Ильяemail (??), 24-Июл-19, 15:25 
vsftpd?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

75. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (74), 24-Июл-19, 18:58 
Сделай форму регистрации и и отключи анонимный одступ ;)
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

29. "Критическая уязвимость в ProFTPd"  +3 +/
Сообщение от Аноим (?), 24-Июл-19, 11:12 
Админам локалхоста вобще ничего, кроме стима и wino не нужно, это мы выяснили давно уже.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Критическая уязвимость в ProFTPd"  +/
Сообщение от вИКТОР АГН (?), 23-Июл-19, 23:29 
proftpd, pureftpd, vsftpd вот никогда их не различал.
даже не помню, что там стоит, то ли proftpd, то ли pureftpd.
Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в ProFTPd"  +5 +/
Сообщение от gsdh (?), 23-Июл-19, 23:44 
vsftpd - вэри секурити - норм, остальное ре-шето
Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в ProFTPd"  +2 +/
Сообщение от BlackRot (?), 23-Июл-19, 23:58 
vsftpd вроде бы как самый простой, самый лёгкий, а чем меньше лишних возможностей - то и меньше уязвимостей я так считаю.
Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в ProFTPd"  +/
Сообщение от anonymous (??), 24-Июл-19, 11:00 
Если для секурности нужно пользователей виртуальных заделать то в PURE это попроще чем в VS.
Но если просто обычный анонимус то да штатного vs хватает.
Ответить | Правка | Наверх | Cообщить модератору

52. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (51), 24-Июл-19, 15:38 
CVE-2015-1419 очень секурно, да.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

56. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (56), 24-Июл-19, 16:12 
багтрекер глянь, решeто..
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от BlackRot (?), 24-Июл-19, 00:00 
Можете посмотреть на википедии ихние отличия и уже выбирайте что вам больше подходит

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

54. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (54), 24-Июл-19, 15:46 
> proftpd, pureftpd, vsftpd вот никогда их не различал.

У ProFTPD конфиг в стиле Apache, с тэгами.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

80. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (58), 24-Июл-19, 19:33 
> У ProFTPD конфиг в стиле Apache, с тэгами.

А у pureftpd вообще нет конфига. Но какая разница, всё равно они все не нужны.

Ответить | Правка | Наверх | Cообщить модератору

95. "Критическая уязвимость в ProFTPd"  +/
Сообщение от соседemail (?), 26-Июл-19, 13:29 
Они ОЧЕНЬ помогают, в случае тонкой настройки папок пользователя и распределения прав пользователей на FTP
Ответить | Правка | Наверх | Cообщить модератору

7. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от BlackRot (?), 24-Июл-19, 00:05 
*о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад*

Хотел перейти на этот сервер но больше не хочу и не захочу

Ответить | Правка | Наверх | Cообщить модератору

12. "Критическая уязвимость в ProFTPd"  +3 +/
Сообщение от Аноним (12), 24-Июл-19, 00:29 
vsftpd наше всё
Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним3 (?), 24-Июл-19, 01:12 
че прикольный протокол .. был в конце 90-х начале 2000. сколько серваков было через них разными хак группами почищено. то и дело всплывали новости о взломах через фтп. хотя проблема не в протоколе а в его эксплуатации. а так да sftp самое оно. но вот сейчас наверно только используется для личных файлохранилищ, да внутренних обменников файлами за натом или вообще без сети. ну еще файлопомойки остались. хотя как то на асусе(роутер) встретил открытый порт фтп. причем самое смешное со стандартным входом типа админ)))
Ответить | Правка | Наверх | Cообщить модератору

53. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (51), 24-Июл-19, 15:39 
В конце 90ых уже многие сидели за натом и ftp уже был архаизмом.
Ответить | Правка | Наверх | Cообщить модератору

55. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним3 (?), 24-Июл-19, 16:03 
многие , но не все. и часто конторки с игрухами или софтом оставляли 22 порт наружу по умолчанию. некоторые ребята валили эти конторки потом очень красиво. с полным обналичиванием исходников на всяких варез свалках. некоторые правда пытались схитрить и настроить фтп на какой нибудь 2200 порт( к примеру) , но для nmap'a это как понимаете не вопрос. и в итоге тоже самое. хотя если хорошо настроить фтп ничего подобного не произошло бы. единственная возможность дыры - это открытая передача пароля. при прослушке все вылезает мгновенно. из-за этого этот протокол и сочли устаревшим и небезопасным. а сам протокол хорош и удобен. просто нужен sftp.
Ответить | Правка | Наверх | Cообщить модератору

57. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (51), 24-Июл-19, 16:26 
> динственная возможность дыры - это открытая передача пароля

Да нет же. Главная проблема это два порта и прочая фигня.
Кстати, при чем тут 22/tcp(ssh)? 20/tcp — ftp-data и 21/tcp — ftp

Ответить | Правка | Наверх | Cообщить модератору

67. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним3 (?), 24-Июл-19, 17:39 
опечатка. привычка. на 22 порт)) а вообще какая разница какой порт, главное передача пароля незашифрованным. это главная проблема. принцип работы сетей пока никто не отменял и широковещательные опросы остались. вот если бы посылать пакеты по строго отведенному маршруту и при этом на время передачи сделать запрет подключения к этому маршруту, то да . но увы это поставило бы всю сеть в коллапс.))
Ответить | Правка | Наверх | Cообщить модератору

69. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Павел Отредиезemail (?), 24-Июл-19, 18:05 
В Linux  два порта элементарно разруливаются и при Nat  через RELATED критерий iptables.  Хоть для клиента хоть для сервера.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

73. "Критическая уязвимость в ProFTPd"  +/
Сообщение от пох. (?), 24-Июл-19, 18:19 
> В Linux  два порта элементарно разруливаются и при Nat  через
> RELATED критерий iptables.  Хоть для клиента хоть для сервера.

эта небольшая проблема уже успешно устранена - нет больше никакого iptables. deprecated и будет неминуемо окончательно выпилен через пол-годика-годик.

линуксные файрволы будут точно таким же унылым г-ном как поделки на базе pf и ipfw.

Ответить | Правка | Наверх | Cообщить модератору

76. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (51), 24-Июл-19, 19:30 
Опять твои влажные ватные мечты. Никто не собирается выпиливать iptables в ближайшие годы. Как вышел с ним RH8, так считай еще 10 лет минимум iptables будет с вами. А ты дальше выдумывай страшных врагов, которые все выпилят. Пока что все твои вангования проваливались в тот же унитаз, куда и твоя жизнь.
Ответить | Правка | Наверх | Cообщить модератору

77. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (51), 24-Июл-19, 19:31 
Иди читать особенность работы ftp, про active и passive режимы, про проблемы с натом и прочее. Глядишь станешь чуть умней моего седалища, а то пока мое седалище умней.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

91. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Павел Отредиезemail (?), 25-Июл-19, 15:37 
Мля, ну ты хам. Мной это прочитано 15 лет назад. И на моих ftp всегда работали оба режима.
Ответить | Правка | Наверх | Cообщить модератору

59. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (58), 24-Июл-19, 16:37 
> че прикольный протокол .. был в конце 70-х начале 80-х.

fxd

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

20. "Критическая уязвимость в ProFTPd"  +3 +/
Сообщение от Аноним (20), 24-Июл-19, 06:58 
У кого-то были иллюзии? ProFTPD всегда был дыряв, это типа как вордпресс 1.0
Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в ProFTPd"  +/
Сообщение от ыы (?), 24-Июл-19, 07:59 
а вон четвертая ссылка не о том же?
https://www.opennet.me/opennews/art.shtml?num=42015
Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (23), 24-Июл-19, 08:26 
Бгы, вот сейчас в репу homebrew  насуют... они proftpd юзают для хранения билдов
Ответить | Правка | Наверх | Cообщить модератору

24. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноне (?), 24-Июл-19, 09:08 
А зачем нужен mod_copy, что будет, если отключить?
Ответить | Правка | Наверх | Cообщить модератору

25. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от пох. (?), 24-Июл-19, 10:08 
> А зачем нужен mod_copy

низачем. Очередное поделие очередного улучшайки, которому не терпится дописаться в copyright.

> что будет, если отключить

ничего не будет, ни пользователи, ни тем более чудо-клиенты которыми они пользуются (или которые пользуют их) все равно не в курсе что это такое и как им пользоваться.

но я бы "отключал" весь этот бездарный кусок bloatware, либо pure, если у тебя есть какие-то пользователи, либо bsd ftpd, если пользователь - ты сам.


Ответить | Правка | Наверх | Cообщить модератору

36. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (36), 24-Июл-19, 12:46 
Этот модуль позволяет скопировать файл прямо на сервере. Интересная команда, жалко что дырявый.
Ответить | Правка | Наверх | Cообщить модератору

37. "Критическая уязвимость в ProFTPd"  +/
Сообщение от BlackRot (?), 24-Июл-19, 13:43 
Хотелось бы голосовалочку, очень интересно кто какой сервер использует или альтернативу этому протоколу :) Можно в коменты))
Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (51), 24-Июл-19, 15:35 
sftp, для виртуальных пользователей и форса юзера-группы при заливке на нужные на сервере mysecureshell реализующий sftp и дающий много дополнительных плюшек
Ответить | Правка | Наверх | Cообщить модератору

66. "Критическая уязвимость в ProFTPd"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 17:23 
> sftp, для виртуальных пользователей и форса юзера-группы при заливке на нужные на
> сервере mysecureshell реализующий sftp и дающий много дополнительных плюшек

то есть еще один кривой костыль и дырявая подпорка поверх кривого костыля и дырявой подпорки.
Лишь бы проклятущим ftp не пользоваться, да?

Ответить | Правка | Наверх | Cообщить модератору

79. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (51), 24-Июл-19, 19:32 
Малыш, иди читать про отличия ftp и sftp. Про безопасность, про ключи вместо паролей, про проблемы ftp и его разные режимы. А то ты только здесь постоянно чушь несешь, при чем откровенную чушь, такое впечатление, что ты обо всем слышал только когда папка твой, по пьяни, с коллегами разговаривает, а ты вместо деланья уроков под дверью послушиваешь.
Ответить | Правка | Наверх | Cообщить модератору

89. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от пох. (?), 25-Июл-19, 15:14 
малыш здесь ты. Ни про s/key, ни про tls auth отдельный от data link, ни про то, что "безопастность" без уточнения кому и от кого вообще мало нужна в реальном мире, ни про то что "проблемы" привнесенные кривыми натами решены всеми вменяемыми системами двадцать лет назад, и те же самые проблемы есть (и не решены а усугублены, потому что время вменяемых давно прошло) в том же sip - ты явно не слышал, но хамишь взрослым, когда они разрушают твой мирок детских фантазий.

Про очевидные дыры by design у твоего любимого фуфла - тоже не слышал, а своей головенки на плечах, разумеется, нет.

Ответить | Правка | Наверх | Cообщить модератору

41. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от ALex_hha (ok), 24-Июл-19, 14:57 
За гибкость, как и в случае с exim, приходится платить. Не нужна гибкость - ставь vsftpd (postfix) и радуйся жизни.

Удивляет тот факт, что патч вышел почти год спустя. Я общался с автором в группе рассылки и он очень оперативно отвечал

Ответить | Правка | Наверх | Cообщить модератору

60. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от Аноним (58), 24-Июл-19, 16:39 
> vsftpd

Шило на мыло. Забудь ты уже этот архаизм.

Ответить | Правка | Наверх | Cообщить модератору

64. "Критическая уязвимость в ProFTPd"  –1 +/
Сообщение от suffix (ok), 24-Июл-19, 17:14 
Ну и чем уж так безопаснее sftp чем ftps ? Нормальный протокл таки ftp - отказываться от него просто так смысла не вижу.
Ответить | Правка | Наверх | Cообщить модератору

83. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Аноним (58), 24-Июл-19, 19:45 
Ты канал данных только не забудь пошифровать, ага. И не забудь, что у тебя passthrough отвалится.
Ответить | Правка | Наверх | Cообщить модератору

70. "Критическая уязвимость в ProFTPd"  –2 +/
Сообщение от Павел Отредиезemail (?), 24-Июл-19, 18:09 
Да у тебя ангельское предубеждение, а значит не рационально. Многие люди консервативны, и их устраивает и  ftp.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

84. "Критическая уязвимость в ProFTPd"  +1 +/
Сообщение от Аноним (58), 24-Июл-19, 19:47 
> не рационально
> Многие люди консервативны, и их устраивает и  ftp.

Прекрасный пример рационального мышления! Увы, я и правда менее рационален: использования FTP я стараюсь избегать не только потому что либерален.

Ответить | Правка | Наверх | Cообщить модератору

93. "Критическая уязвимость в ProFTPd"  +/
Сообщение от Павел Отредиезemail (?), 25-Июл-19, 18:57 
Дерьмо это как ты себя чувствуешь, а не то на что ты смотришь.
Ответить | Правка | Наверх | Cообщить модератору

94. "Критическая уязвимость в ProFTPd"  +/
Сообщение от 354256522452 (?), 26-Июл-19, 07:10 
в EPEL апдейт появится через пару месяцев, как раз всякие ISPmanager с cPanel поломают (ведь панелеписатели не осилили vsftpd), а панели эти заточены под центось
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру