The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Возможная компрометация сервера загрузки Inkscape"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Возможная компрометация сервера загрузки Inkscape"  +/
Сообщение от opennews (??), 22-Авг-23, 21:32 
Разработчики дистрибутива NixOS обратили внимание на появление следов вредоносной активности на хосте media.inkscape.org, используемом для загрузки  свободного векторного графического редактора Inkscape. В каталоге "/dl/resources/file/", из которого организована загрузка официальных выпусков Inkscape (/dl/resources/file/inkscape-1.3.tar.xz), появился индексный файл с формой регистрации в Online-казино. Потенциально в ходе атаки могли быть скомпрометированы отдаваемые для загрузки файлы с Inkscape. Комментариев об инциденте от представителей проекта Inkscape пока нет...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59642

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. Скрыто модератором  +5 +/
Сообщение от Аноним (2), 22-Авг-23, 21:33 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +9 +/
Сообщение от Аноним (4), 22-Авг-23, 21:38 
Ответить | Правка | Наверх | Cообщить модератору

6. "Следы вредоносной активности на сервере загрузки Inkscape"  –2 +/
Сообщение от Аноним (6), 22-Авг-23, 21:53 
Опять диды промахнулись с уязвимостями.
Ответить | Правка | Наверх | Cообщить модератору

18. "Следы вредоносной активности на сервере загрузки Inkscape"  +12 +/
Сообщение от Аноним (18), 23-Авг-23, 00:01 
Работает - не трогай
Обновляются только смузихипстеры.
Стабильность превыше всего.

... и другие мудрости трушных юниксовых админов.

Ответить | Правка | Наверх | Cообщить модератору

31. "Следы вредоносной активности на сервере загрузки Inkscape"  –3 +/
Сообщение от mos87 (ok), 23-Авг-23, 07:34 
само нопейсало само ответило
Ответить | Правка | Наверх | Cообщить модератору

30. "Следы вредоносной активности на сервере загрузки Inkscape"  –3 +/
Сообщение от mos87 (ok), 23-Авг-23, 07:33 
в FTP-то? который хипсто-корпы отовсюду выживают лол
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

41. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (18), 23-Авг-23, 14:02 
Великий и прекрасный proftpd, например. Функциональность remote shell - на уровне opensmtpd.
Ответить | Правка | Наверх | Cообщить модератору

53. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (53), 24-Авг-23, 19:31 
Ну давай по существу. Проблемы в FTP глубоко исторические и отрицать их бессмысленно.

Во-первых: Этот протокол не подходит для использования в современном интернете
Ну то есть он работает, но весьма посредственно. Возможно в 70-е, когда IP адресов хватало всем, файлы и скорости были маленькими, оно считалось нормальным. Сейчас нет.
С тех пор, например, была похоронена модель OSI. Её не существует в современном интернете. Все эти разделения на уровни остались только как жаргон, в реальности у нас "коммутаторы" в датацентрах строят L3 сеть по BGP, чтобы передать там тунели VXLAN и генерирувуют мосты с физическими портами, собирать VRF, причем всё это динамически. Про файрволы и NAT думаю рассказывать не надо. Его пассивный режим, который позволяет пройти через файрвол на самом деле рушит основную логику FTP, о том что на запрос в Control Plane вы получаете входящий коннект в Data Plane с передачей файла.

Во-вторых: он рассчитан на использование в рамках суперсервера Internet Daemon, который по-факту мёртв (если не считать Microsoft IIS)
Изначальная идея в том, что ядро ОС приняв запрос на порт 21 должно передать его на FTP-демон или драйвер, обслуживающий протокол FTP в ядре. В Microsoft попытались реализовать это, был провал. Переписали на юзерспейсную реализацию в IIS 7.5 и вот оно как-то живет. Полноценной и быстрой реализации в FTP поверх inetd я не видел. Наоборот, все пихают его как самодостаточный демон или приложение, обслуживающий сам себя. То есть с точки зрения архитектуры написания приложения "широкополосность" с разделением data plane от control plane для оптимизации производительности не используется.

В-третьих: он использует сессии для передачи файлов и с точки зрения HA/LB - это жесть.
Ну то есть, попробуйте мне сделать отказоустойчивый FTP сервер с балансировкой нагрузки, как раз по корпоративному принципу. Его "балансировщик" будет работать примерно также как SIP B2BUA и напоминать будет SIP Proxy. Кстати, архитектура у них примерно одинаковая.

Для банальной отказоустойчивой передачи файлов в протоколе FTP вам нужно слишком много.
HTTP-way
1. Создать сессию и тем самым вы привязаны к конкретному серверу целиком по вашему source.
2. Вам нужнен отдельный мониторинг, чтобы понять загруженность. Просто так раскидать коннекты по количеству не дадут вам балансировку по пропускной способности.
SIP-way
1. Вам нужно написать отдельный отказоустойчивый сервис для работы с Control Plane, который будет выполнять роль диспетчера-координатора по файловым серверам
2. Отдельно написать реализацию FTP, которая понимает такую координацию
В первом случае не понятно, почему бы просто не использовать HTTP, а во втором случае в самом протоколе FTP не предусмотрена Back To Back логика с терминированием сессий, как в SIP.
Да, существуют FTP reverse proxy решения. Но это ALG, а не решение для отказоусточивости и балансировки. Я уже не говорю про то какой же они мусор.

В-четвёртых: безопасность
FTP повторил историю с SMTP, у обоих мертвы неявные реализации поверх TLS, а явные (современный FTPS и ESMTP) используют команду для апгрейда сессии из незащищенной в защищенную. Справедливости ради SMTPS остался как Submission-вариант на 465-ом порту, но для основного потока обмена почтой он не используется. Равно как и старые порты 989-990 существуют и если клиент реализует FTP таким способом, то никто вам не запретит.
Проблема в том, что как и в случае с ESMTP вам любой DPI вырежет эту команду из потока. В случае же продолжения использования FTPS через неявные порты 989/990 вы еще больше усложняете задачу балансировки нагрузки и отказоустойчивости. SIPS таких проблем не имеет, потому что понимает на уровне топологии понимает, что такое B2BUA или как его называет молодежь (Session Border Controller).

Просто научитесь пользоваться протоколом WebDAV
1. Он проходит файрволы и NATбез всяких ухищрений с Application Level Gateway на роутере.
2. Он быстрее работает, если у вас большой объем маленьких файлов на передачу. Вместо того чтобы создавать по новому соединению на каждый файл WebDAV пропустит их через одно соединение.
3. У вас есть стандартизированная поддержка компрессии на лету во всех клиентах, по стандарту её нету
4. У вас есть возможность вынести аутентификацию на отдельный сервис OAuth2/SAML2 или использовать Kerberos в отличии от единственно возможного варианта в FTP, который аналогичен HTTP Basic с передачей логина и пароля по сети в потенциально незащищенной сессии, потому что TLS там не обязателен
5. WebDAV поддерживает частичную догрузку измененных данных в файле. В FTP вы вынуждены перепослать весь файл целиком, если его кусочек изменился
6. Оно работает через обычные реверс-прокси сервера и вы можете как угодно его балансировать и делать отказоустойчивым
7. Его проще админить чем FTP.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

54. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (54), 25-Авг-23, 20:03 
Забыли упомянуть про проблему с отсутствием понятия кодировки в FTP, из-за чего передача русских имен дааалеко не гарантирована :) А еще, если я не путаю, определения как передавать листинг каталога очень неопределенные, в духе "как на исходной системе так и шлем", а клиенту потом разбирай все это эвристикой. "в древние времена" ftp-серверы под всякими не-юниксоподобными системами могли слать совершенно не такого формата листинги.
Ответить | Правка | Наверх | Cообщить модератору

44. "Следы вредоносной активности на сервере загрузки Inkscape"  +1 +/
Сообщение от Аноним (44), 23-Авг-23, 15:24 
Лол там давно уже одни джуны. Которые даже если захотят что-то потрогать не знают как это делать.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (47), 23-Авг-23, 16:50 
> Опять диды промахнулись с уязвимостями.

...
> Последнее обновление ветки Django 2.2 (2.2.28) сформировано в апреле 2022
> года и включало исправление критической уязвимости,

Быстро питоняши в дедушек записываются, очень вредная профессия походу :)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

49. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (18), 24-Авг-23, 00:44 
Django 2.2 released on 1 apr 2019

Но вообще, настоящий дед может и смузихипстоту поставить, главное - не обновлять по четыре года.

Ответить | Правка | Наверх | Cообщить модератору

14. "Следы вредоносной активности на сервере загрузки Inkscape"  +2 +/
Сообщение от Аноним (14), 22-Авг-23, 22:28 
джанго в своем репертуаре
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 22-Авг-23, 23:42 
Ответить | Правка | Наверх | Cообщить модератору

19. "Следы вредоносной активности на сервере загрузки Inkscape"  +3 +/
Сообщение от Аноньимъ (ok), 23-Авг-23, 01:14 
>На основном сайте www.inkscape.org используется CMS

Это какой-то позор.

Ответить | Правка | Наверх | Cообщить модератору

22. "Следы вредоносной активности на сервере загрузки Inkscape"  +1 +/
Сообщение от Аноним (22), 23-Авг-23, 05:16 
с языка сняли!
Ответить | Правка | Наверх | Cообщить модератору

24. "Следы вредоносной активности на сервере загрузки Inkscape"  +7 +/
Сообщение от Аноним (24), 23-Авг-23, 05:33 
Согласен, ведь достаточно статичного html с ссылкой на скачивание.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

34. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (34), 23-Авг-23, 07:51 
Ftp сервера хватит всем
Ответить | Правка | Наверх | Cообщить модератору

37. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (37), 23-Авг-23, 09:17 
захожу из файлового браузера ftp://cdimage.debian.org/
Ответить | Правка | Наверх | Cообщить модератору

36. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (36), 23-Авг-23, 08:58 
Или статики, сгенерированный каким-нибудь Sphinx
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

33. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (34), 23-Авг-23, 07:49 
Нет чтобы поднять ftp сервер и выложить на него свою поделку
Ответить | Правка | Наверх | Cообщить модератору

38. "Следы вредоносной активности на сервере загрузки Inkscape"  +4 +/
Сообщение от YetAnotherOnanym (ok), 23-Авг-23, 09:44 
Типа, ftp-сервера не ломают...
Ответить | Правка | Наверх | Cообщить модератору

42. "Следы вредоносной активности на сервере загрузки Inkscape"  +/
Сообщение от Аноним (18), 23-Авг-23, 14:03 
Года до 2010 ломали, ещё как.
Потом они кончились.
Ответить | Правка | Наверх | Cообщить модератору

45. "Следы вредоносной активности на сервере загрузки Inkscape"  +2 +/
Сообщение от Аноним (44), 23-Авг-23, 15:25 
Как поддержку в браузере прекратили так и кончились.
Ответить | Правка | Наверх | Cообщить модератору

46. "Следы вредоносной активности на сервере загрузки Inkscape"  –1 +/
Сообщение от мимо (?), 23-Авг-23, 16:38 
Полагаю, это была шутка с отсылкой к Торвальдсу.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

52. Скрыто модератором  +/
Сообщение от Аноним (-), 24-Авг-23, 13:10 
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

35. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 23-Авг-23, 08:58 
> посторонний мог загрузить на сервер media.inkscape.org свой tar.gz-архив с вредоносными изменениями и преподнести его как релиз

Ыыыы... какая прелесть!

Ответить | Правка | Наверх | Cообщить модератору

39. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  –1 +/
Сообщение от Аноним (39), 23-Авг-23, 10:28 
Из новости не совсем понятно, может ли посторонний, если ему не нравится программа, просто зайти и удалить ее вместе с исходниками?
Ответить | Правка | Наверх | Cообщить модератору

40. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  +/
Сообщение от Штунц (?), 23-Авг-23, 11:55 
Потому что новость о совсем другом, чем произвольные файловые операции на сервере :)
Ответить | Правка | Наверх | Cообщить модератору

50. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  +/
Сообщение от Атон (?), 24-Авг-23, 08:57 
можно просто зайти и заменить на ту, которая нравится.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

48. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  +5 +/
Сообщение от Аноним (48), 23-Авг-23, 19:27 
Инкскейп годится как бесплатная замена корела, но что то танк маус, что это пушка дора.
А вот каких-либо годных аналогов некрософтовского экспрешн дизайна так и не появилось. Более того — даже несмотря на необфусцированный дотнет под капотом, никто не смог реверсировать и поправить пару глюков; все отмазываются высокой сложностью проекта.
Ответить | Правка | Наверх | Cообщить модератору

55. "Следы вредоносной активности на сервере загрузки Inkscape (д..."  +/
Сообщение от Аноним (55), 26-Авг-23, 11:25 
До фотошопа им ещё далеко.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру