|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от opennews on 04-Июл-11, 15:30 | ||
Крис Эванс (Chris Evans), автор популярного FTP-сервера vsftpd (https://security.appspot.com/vsftpd.html) опубликовал уведомление (http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-...) об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +10 +/– | |
Сообщение от indig0z on 04-Июл-11, 15:30 | ||
Very, Very Secure FTP =) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
87. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +5 +/– | |
Сообщение от Аноним123321 (ok) on 05-Июл-11, 03:44 | ||
"gpg: BAD signature..." -- какбы намекает нам на то что чам vsftp не поражён | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
4. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –15 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 15:37 | ||
EPIC FAIL | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
86. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +3 +/– | |
Сообщение от solardiz (ok) on 05-Июл-11, 03:41 | ||
А по-моему это отличный пример того, что подписи (GPG detached signatures) на upstream tarball'ах работают, по крайней мере иногда. И еще это пример того, что Крис подготовился к этой возможной проблеме заранее, подписывая релизы. Если риск был известен и по нему были приняты должные меры - то какой же это fail? Не все должные меры? Возможно. Но один из уровней безопасности сработал-таки. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
88. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от solardiz (ok) on 05-Июл-11, 08:48 | ||
> мое предположение - 1-3 дня. | ||
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору |
100. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 05-Июл-11, 14:20 | ||
> EPIC FAIL | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +4 +/– | |
Сообщение от Denisiuk (ok) on 04-Июл-11, 15:46 | ||
в конце окажется, что взломали FTP хостинга, а FTP сервер там был не VS. и разработчики: НУ! О ЧЕМ МЫ ГОВОРИЛИ??!!! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 16:07 | ||
Это такая скрытая реклама: "Не будет нас, будет как снами!" )) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 16:09 | ||
Жаль, для таких проектов нужно иметь собственный сервер в стойке ДЦ или надежный хостинг от крупных компаний. А не винить потом хостинг. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от PavelR (??) on 04-Июл-11, 16:25 | ||
Ты много спонсорской помощи проекту оказал? | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
17. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –9 +/– | |
Сообщение от Джон on 04-Июл-11, 16:31 | ||
Нда. При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов можно легко проверить что чексуммы не совпадают... Линукс такой линукс... Толи дело freebsd - оно даже не подумает ставить софт, если md5 и sha сорцов не будут оригинальными, которые автор порта вписал в порт в день его создания. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
18. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +5 +/– | |
Сообщение от koblin (ok) on 04-Июл-11, 16:36 | ||
vsftpd имеет такое же отношение к Linux как и к FreeBSD.. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
19. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –8 +/– | |
Сообщение от nikll (ok) on 04-Июл-11, 16:46 | ||
Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" (кому как нравится) в этом плане. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
21. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +3 +/– | |
Сообщение от koblin (ok) on 04-Июл-11, 16:49 | ||
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
22. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –5 +/– | |
Сообщение от Миксер on 04-Июл-11, 16:50 | ||
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
33. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 18:09 | ||
При чём тут исходники, ты их каждый раз на бэкдоры проверяешь перед установкой, что ли? Речь о том, что проверка контрольной суммы (не важно чего, исходников или бинарников) — штука полезная. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
63. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:57 | ||
> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
95. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Mike Lee on 05-Июл-11, 12:17 | ||
ну я в gentoo проверил сорцы сразу же. ибо пользую vsftpd на продакшене. а sha256 и md5 само проверяется так же как и в хваленой бзде. | ||
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору |
105. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Michael Shigorin (ok) on 05-Июл-11, 20:21 | ||
> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
109. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от universite (ok) on 05-Июл-11, 23:21 | ||
Толсто. | ||
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору |
110. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:18 | ||
> Толсто. | ||
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору |
114. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от universite (ok) on 06-Июл-11, 00:44 | ||
>> Толсто. | ||
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору |
126. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 09:40 | ||
> Тут есть полно любителей Линукса, которые любят патчить ядро. | ||
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору |
138. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от nagual (ok) on 07-Июл-11, 13:03 | ||
>> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру. | ||
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору |
142. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Michael Shigorin (ok) on 07-Июл-11, 14:26 | ||
Я-то знаю, потому и цитата в кавычки забрана. :) | ||
Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору |
31. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +2 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 17:58 | ||
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
43. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от жопка3 on 04-Июл-11, 21:50 | ||
Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу же за это скушает | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
90. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от nikll (ok) on 05-Июл-11, 10:17 | ||
> Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
99. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 13:42 | ||
> (yum -y т.к. палец давить на [y] устанет пока на каждый | ||
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору |
102. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 05-Июл-11, 14:24 | ||
> md5 sha256 и размер в байтах | ||
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору |
111. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:20 | ||
>> md5 sha256 и размер в байтах | ||
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору |
136. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 21:11 | ||
> В отличие от более продуманного линукса, в котором нужно сильно попотеть, чтобы отключить чексуммы :-) | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
52. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Клыкастый (ok) on 04-Июл-11, 22:29 | ||
при установке из портежей также проверяются чексуммы. проблема не в линуксе. проблема в механизме установки софта. далее вопрос: а если бы взломщики поправили чексуммы? | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
20. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –3 +/– | |
Сообщение от Лоловой on 04-Июл-11, 16:48 | ||
> vsftpd имеет такое же отношение к Linux как и к FreeBSD.. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
24. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от koblin (ok) on 04-Июл-11, 16:52 | ||
Много где, помимо фряхи, есть такая защита. Непонятно с какой целю ее вытащили из чулана в этом топике. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
32. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +3 +/– | |
Сообщение от szh (ok) on 04-Июл-11, 18:01 | ||
это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает про подписи в rpm и в deb. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
79. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 01:12 | ||
> это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
26. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Alen (??) on 04-Июл-11, 17:04 | ||
Я не знаю про федору, но на ней точно свет клином не сошелся! Попробуй в генте что ни будь установить с различающимися контрольными суммами исходников ибилдов патчей, да хоть файла с инфрмацией о пакете :) | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
39. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от коксюзер on 04-Июл-11, 19:59 | ||
> Я не знаю про федору, но на ней точно свет клином не | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
44. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от вш9 on 04-Июл-11, 21:51 | ||
В debian тоже не обязательно иметь хэши в пакете. Пакет ставится и без нихы | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
65. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:00 | ||
> В debian тоже не обязательно иметь хэши в пакете. Пакет ставится и без нихы | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
45. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Alen (??) on 04-Июл-11, 21:56 | ||
Где это, уважаемый, я говорил про подписанные исходники? | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
77. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 01:09 | ||
> безопасности генты вполне хватило бы для защиты системы от установки | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
75. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 01:07 | ||
> -- Пользователь Hardened Gentoo | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
96. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +2 +/– | |
Сообщение от коксюзер on 05-Июл-11, 13:06 | ||
>> -- Пользователь Hardened Gentoo | ||
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору |
119. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от wechat on 06-Июл-11, 02:48 | ||
>-- Пользователь Hardened Gentoo | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
40. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Анон9 on 04-Июл-11, 20:02 | ||
Имхо, метадата там генерится на основе скачаных сорцов самим мантейнером. Откуда он скачал этот сорец, если в ебилде стоит mirror, известно только самому мантейнеру. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
78. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 01:11 | ||
> самому мантейнеру. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
28. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от t (??) on 04-Июл-11, 17:24 | ||
md5 уже не проверяется, и контрольные суммы не создаются. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
29. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 17:56 | ||
> При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
34. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –3 +/– | |
Сообщение от Отсутствуют данные в поле Name on 04-Июл-11, 18:25 | ||
Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем deb? | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
73. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 01:02 | ||
> Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
120. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от wechat on 06-Июл-11, 02:51 | ||
>Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем deb? | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
42. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от nagual (ok) on 04-Июл-11, 20:24 | ||
Так все таки как оно в бинари пролезло ? и как давно ? | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
64. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:57 | ||
> Так все таки как оно в бинари пролезло ? и как давно ? | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
35. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от анонимомус on 04-Июл-11, 18:26 | ||
Сгенерить md5 и sha - легко, потом откуда берутся эти хеши, с сайта, который взломали, или со скаченного файла с того же самого сайта? Хеши в основном для проверки, что файл не изменился/не сломался по дороге. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
50. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Eugene.Shiyanov on 04-Июл-11, 22:20 | ||
Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
51. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Eugene.Shiyanov on 04-Июл-11, 22:24 | ||
Что-то я стормозил :) выше об этом уже сказали :) | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
72. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:59 | ||
> Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
121. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от wechat on 06-Июл-11, 02:53 | ||
>> Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится. | ||
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору |
25. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 16:55 | ||
запускающий shell на TCP-порту 6200 при наличии в имени пользователя смайлика ":)" | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от анонимный аноним on 04-Июл-11, 17:09 | ||
Так шелл был вставлен в функцию str_contains_space. Т.е. передаем имя несуществующего пользователя содержащего ":)" и вперед, поднимается бэкдор. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
71. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:56 | ||
> так далеко не в каждом имени пользователя есть смайлик ... | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
30. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +2 +/– | |
Сообщение от Имени нету on 04-Июл-11, 17:57 | ||
("gpg: BAD signature..." вместо "gpg: Good signature...") | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
36. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 19:47 | ||
Странно почему ":)" доступно в именах пользователя. Я думал ':' - это запрещённый символ в UNIX-именах пользователя, т.к. им обычно разделяют имя пользователя от имени группы. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
38. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Sylvia (ok) on 04-Июл-11, 19:54 | ||
а пользователь не обязательно должен существовать, в строке ввода должен присутствовать смайлик, этого достаточно ;) | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
53. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Клыкастый (ok) on 04-Июл-11, 22:32 | ||
> Странно почему ":)" доступно в именах пользователя. Я думал ':' - это | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
57. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от yopt (ok) on 04-Июл-11, 23:23 | ||
> Всё логично: легальные пользователи не взведут случайно бэкдорный шелл. | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
83. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от WhiteWind (ok) on 05-Июл-11, 03:01 | ||
FTP работает на стандартном порту, на 6200 открывается шелл | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
37. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Sylvia (ok) on 04-Июл-11, 19:52 | ||
учитывая то, что бэкдор не претендует на серьезность, это просто демонстрация того, что стоит больше уделять внимания размещению кода в безопасном месте и проверке контрольных сумм и подписей, ну а vsftpd был замечательным выбором еще и потому, что претендует на звание самого защищенного ftp сервера. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
47. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 22:12 | ||
Обычно те кто сильно много верещит о безопасности, потом за это страдают. Это как красная тряпка для быка. Безопасность всех ресурсов заявлявшего скорее всего досканально проверят. Не пострадал за это разве что D.J. Berstein, который свое дело знал и выплачивал премию только 1 раз :) | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
60. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:49 | ||
А причём здесь dj? Ошибку же не в исходном коде vsftpd нашли, а в его хостинге. | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
70. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +3 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:55 | ||
> а в его хостинге. | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
93. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 10:57 | ||
Вы доверяете своему провайдеру DNS? :) | ||
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору |
112. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:36 | ||
> Вы доверяете своему провайдеру DNS? :) | ||
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору |
41. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Пиу on 04-Июл-11, 20:07 | ||
$ cat /usr/portage/net-ftp/vsftpd/Manifest | grep vsftpd-2.3.4.tar.gz | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
46. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 22:08 | ||
> судя по всему vsftpd размещался на shared-хостинге | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
48. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 22:13 | ||
Объясните мне в чем сила цифровой подписи ? Чем она может помочь в случае взлома сервера ? Если бы взломавший не только vsftpd-2.3.4.tar.gz заменил, но и на коленке своим приватным ключом создал фиктивный vsftpd-2.3.4.tar.gz.asc, который бы при проверке писал, что сигнатура нормальная. Какой момент я упускаю ? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
49. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 22:16 | ||
В продолжение. Для дистрибутивов все ясно, проверочный публичный ключ изначально идет в комплекте. Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
56. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:05 | ||
> Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть. | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
55. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:02 | ||
> Объясните мне в чем сила цифровой подписи ? Чем она может помочь | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
58. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:43 | ||
> Информация к размышлению: закрытый ключ можно и нужно хранить так, чтобы злобный | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
61. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:52 | ||
Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые ключи удалять нельзя) и подделать все подписи доверенных людей на ключе. | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
68. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:53 | ||
> Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые | ||
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору |
59. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:48 | ||
> К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
62. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 04-Июл-11, 23:55 | ||
>> К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
66. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:01 | ||
> Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
67. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:43 | ||
>он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики. | ||
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору |
80. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 02:25 | ||
> Собственно, на этом история "взлома" и закончится, коварный злодейский замысел будет раскрыт. | ||
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору |
84. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 03:30 | ||
> Васе Пупкину, попытавшемуся первый раз скачать и проверить архив ? | ||
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору |
69. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 00:54 | ||
> ключ и этот ключ будет _другим_ ключом, | ||
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору |
81. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 02:29 | ||
> ... после чего у окружающих будет много вопросов - а какого, собственно, | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
94. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 11:01 | ||
>> ... после чего у окружающих будет много вопросов - а какого, собственно, | ||
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору |
97. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 13:10 | ||
> Надёжность подписи построена на проверке ключей, _в том числе_ и при получении | ||
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору |
113. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:38 | ||
> И кто мешает взломщику использовать свой полноценный заверенный ключ ? | ||
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору |
125. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –1 +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 09:15 | ||
>> И кто мешает взломщику использовать свой полноценный заверенный ключ ? | ||
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору |
76. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от bircoph (ok) on 05-Июл-11, 01:09 | ||
Проверил у себя на серверах с Gentoo: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
82. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Клыкастый (ok) on 05-Июл-11, 02:34 | ||
> Проверил у себя на серверах с Gentoo: | ||
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору |
85. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | –2 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 03:31 | ||
Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут с серверов что попало. | ||
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору |
92. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Клыкастый (ok) on 05-Июл-11, 10:50 | ||
в FreeBSD есть секурити тим и аудит пакетов - хотя казалось бы та же петрушка. | ||
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору |
98. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 13:12 | ||
> Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут | ||
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору |
115. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:50 | ||
> угу, а еще держат протухший софт и сами пытаются бекпартировать секюрные патчи, | ||
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору |
122. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от bircoph (ok) on 06-Июл-11, 03:15 | ||
Тем не менее, авторы openssl не стали включать эту возможность в апстрим, а не на пустом месте. Они просто отписались дебиану в духе ну можно, ну делайте под вашу ответственность. Ну вот и сделали. | ||
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору |
129. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 09:55 | ||
> В случае дебиана — не все так однозначно: их програмеры увидели возможную | ||
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору |
131. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 13:01 | ||
Вы передергивайте, "отладка" - лишь цепляние к словам и отговорка. В том коде черт ногу сломит и никаких комментариев по поводу отсутствия инициализации для формирования энтропии. Реально, разработчики OpenSSL сами давно забыли о том, что у них совершенно неявно энтропия формируется. И ни при каком анализе патчей ничего выявлено небыло, столкнулись с глюком и после долгих разбирательств нашли причину. А ваше упоминане "любого вменяемого человека, который немного понимает в криптографии" доказывает, что вы даже не заглядывали в тот код и не разбирались в чем суть патча, так потрепаться на пустом месте вылезли, отрывочными знаниями и домыслами блеснуть. | ||
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору |
132. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 14:22 | ||
> Вы передергивайте, «отладка» — лишь цепляние к словам и отговорка. | ||
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору |
134. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 17:52 | ||
Вы желчью попусту не истекайте, а вместо пустого трепа ссылку про упоминание только для дебага давайте. 99.9999% что вы такую ссылку не найдете, потому как ваши плевки в сторону Debian это плод вашего воображения. | ||
Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору |
135. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 18:11 | ||
> Вы желчью попусту не истекайте, а вместо пустого трепа ссылку про упоминание | ||
Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору |
133. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 14:24 | ||
кстати, камент выше — реакция типического бебианщка: «в гуано могут вступить все, кто угодно, кроме нас!» виноваты все вокруг, кто угодно вокруг, только не бебианщики. | ||
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору |
106. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор" | +/– | |
Сообщение от Michael Shigorin (ok) on 05-Июл-11, 20:31 | ||
> если планируется выходить на серьёзный уровень требуется аудит кода. | ||
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору |
91. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Axel (??) on 05-Июл-11, 10:46 | ||
По-любому vsftpd ze best. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
104. "В доступный на официальном сайте архив исходных текстов FTP-..." | +1 +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 15:06 | ||
SFTP the best. FTP/TELNET/RLOGIN - каменный век. | ||
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору |
107. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Michael Shigorin (ok) on 05-Июл-11, 20:33 | ||
> SFTP the best. FTP/TELNET/RLOGIN - каменный век. | ||
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору |
118. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Sergey Kovalyov on 06-Июл-11, 01:29 | ||
> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю | ||
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору |
137. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Michael Shigorin (ok) on 06-Июл-11, 21:15 | ||
>> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю | ||
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору |
139. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от nagual (ok) on 07-Июл-11, 13:06 | ||
>> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю | ||
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору |
143. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Michael Shigorin (ok) on 07-Июл-11, 14:29 | ||
> atom [...] в нем же все девайсы как софтмодем. | ||
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору |
116. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:51 | ||
> SFTP the best. | ||
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору |
108. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Аноним (??) on 05-Июл-11, 23:15 | ||
Что-то бекдор не работает. На любые команды ругается: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
117. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 00:52 | ||
> Что-то бекдор не работает. На любые команды ругается: | ||
Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору |
123. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 05:11 | ||
Да нифига он не работает в том виде что он есть. Ну то есть соединение принимает, но ничего запустить из него не возможно. | ||
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору |
124. "В доступный на официальном сайте архив исходных текстов FTP-..." | +/– | |
Сообщение от Аноним (??) on 06-Июл-11, 05:18 | ||
> Да нифига он не работает в том виде что он есть. Ну | ||
Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору |
127. "В доступный на официальном сайте архив исходных текстов..." | +/– | |
Сообщение от anonymous (??) on 06-Июл-11, 09:42 | ||
> А не работает, но как-то частично. Нормально только echo заработало, типа: | ||
Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |