The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей

02.04.2011 10:37

Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e в котором исправлена 21 ошибка. В новой версии устранено две уязвимости:

  • Уязвимость в реализации команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
  • Уязвимость в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.

Другие исправления:

  • Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
  • Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
  • Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
  • Откорректирован вывод некоторых предупреждающих сообщений;
  • Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
  • Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;

Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4, в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.

  1. Главная ссылка к новости (http://www.proftpd.org/...)
  2. OpenNews: Уязвимости в Plone, ProFTPD, OpenSSL, Tomcat, Chrome, WordPress, RealPlayer и Adobe Flash
  3. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  4. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
  5. OpenNews: Вышел ftp-сервер ProFTPD 1.3.3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/30107-ProFTPD
Ключевые слова: ProFTPD, ftp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bircoph (ok), 11:20, 02/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
    Нужно vsftpd использовать — и всё будет хорошо.
     
     
  • 2.2, Sadok (??), 11:51, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    уж сколько раз твердили миру...
     
     
  • 3.4, x (?), 13:14, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    vsftpd может виртуальных юзеров?(в простом plain text файле)
     
     
  • 4.5, Sadok (??), 14:22, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > vsftpd может виртуальных юзеров?(в простом plain text файле)

    может.

     
     
  • 5.20, гафт (?), 17:50, 04/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ссылку на документацию дайте пожалуйста, где описывается как это сделать.
     
     
  • 6.21, Sadok (??), 17:55, 04/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ссылку на документацию дайте пожалуйста, где описывается как это сделать.

    http://www.google.ru/search?q=vsftpd+virtual+users&ie=utf-8&oe=utf-8&aq=t&rls

     
  • 3.16, анон (?), 01:32, 03/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >уж сколько раз твердили миру...

    Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую дырку (неконтролируемый глоббинг).

     
     
  • 4.18, Sadok (??), 12:08, 03/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>уж сколько раз твердили миру...
    > Вы так говорите, как будто не в vsftpd совсем недавно нашли глупейшую
    > дырку (неконтролируемый глоббинг).

    это бага в libc, а не в реализации сервера. дырку тут же заткнули.

     
  • 2.3, V (??), 12:21, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
     
     
  • 3.6, Аноним (-), 14:29, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )

    А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос не флейма ради. Просто из того, что я вижу и сам юзаю - в 99% случаев - ftp это зачастую просто анонимный доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

     
     
  • 4.8, odus (ok), 16:47, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не флейма ради. Просто из того, что я вижу и сам
    > юзаю - в 99% случаев - ftp это зачастую просто анонимный

    ключевая фраза - "сам вижу и сам юзаю"
    а так как больше ничего не видел
    то и результат ясен ...

     
  • 4.9, Аноним (-), 16:48, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угу.
    http://phdru.name/Russian/Software/ftp_vs_http.html
     
  • 4.12, HFSC (??), 21:36, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> до возможностей proftpd всем ftp-серверам вместе взятым ещё плыть и плыть )
    > А где сейчас используется протокол ftp с какими-то особо богатыми возможностями? Вопрос
    > не флейма ради. Просто из того, что я вижу и сам
    > юзаю - в 99% случаев - ftp это зачастую просто анонимный
    > доступ к файлообменникам. И то, его оттуда успешно вытесняет http.

    Преимущество профтпд в модульности

     
  • 4.19, rshadow (?), 13:40, 03/04/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все правильно. FTP мертвый протокол живущий за счет нервов виндузятников.
     
  • 3.10, Аноним (-), 20:02, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Очень фичастый ... паравоз. В век самолётов - не нуна!
     
  • 3.13, bircoph (ok), 21:59, 02/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Каких именно функций в vsftpd вам не хватает?
     
  • 2.15, анон (?), 00:50, 03/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно vsftpd использовать — и всё будет хорошо.

    proftpd и vsftpd - как apache и nginx. Уровень возможностей несколько разный, поэтому они не конкуренты. И не могут полностью заменять друг друга.

     
  • 2.22, SHRDLU (ok), 14:29, 05/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А ведь самая главная уязвимость осталась неисправленной: ProFTPD.
    > Нужно vsftpd использовать — и всё будет хорошо.

    Эээ, помнится мне, нечто подобное в своё время говорили и про dovecot.
    Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока им пользовались единицы. Как пошел dovecot в массы - так и в нём стали находить дыры и баги.

     
     
  • 3.23, Аноним (-), 16:15, 05/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
    > им пользовались единицы. Как пошел dovecot в массы - так и
    > в нём стали находить дыры и баги.

    Ссылку на хоть одну опасную уязвимость в dovecot в студию. Там только несущественные мелочи до сих пор находили, которые максимум к отвалу текущей сессии могли привести.

    PS. http://secunia.com/advisories/search/?search=dovecot

     
     
  • 4.24, SHRDLU (ok), 18:02, 05/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Дескать, единственный pop3/imap сервер, не имеющий уязвимостей. Он и был таковым, пока
    >> им пользовались единицы. Как пошел dovecot в массы - так и
    >> в нём стали находить дыры и баги.
    > Ссылку на хоть одну опасную уязвимость в dovecot в студию.

    Не-а, не приведу. Бо сам не пользуюсь, только новости читаю, и не очень внимательно. Кому интересно, можно прямо тут, на опеннете и поискать. Всё, что я по этому вопросу видел, я видел здесь.
    Я не с целью опустить dovecot или облагородить proftpd высказался. А продемонстрировать, что всякая категоричность в таких вопросах излишня.

     

  • 1.11, Аноним (11), 20:18, 02/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а модуль для корректного отображения кодировок и utf8 и cp1251 не добавили случайно? ато патчилось оно только с хорошими пинками ...
     
     
  • 2.14, анон (?), 00:48, 03/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем эти костыли? Если у кого-то клиент поддерживает только cp1251 или koi8-r - это его половые трудности, зачем под убогих прогибаться?
    А с utf-8 там всё хорошо, емнип.
     

  • 1.17, Аноним (-), 08:58, 03/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    С перекодировкой давно все отлично. Мдуль NLS.
     
  • 1.25, net (??), 20:23, 20/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хороший сервер proftpd легко поднять чем vsftpd но безопасность прежде всего!
    я думаю что все_ таки iptables и подобные фильтры должны защитить...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру