Критическая уязвимость CVE-2019-12815 в ProFTPd

Блин где в браузере кнопачка загрузить картинку НА сервер?

Да большинство серверов FTP вебморду отдают через nginx по http, кстати.

А большинство простых людей не видели FTP кроме как в браузере для загрузки, и уж тем более не администрировали даже простенький демон аля freebsd ftp, не говоря уж о proftpd.

Установи дополнение же, ну!

Естественно речь идет о веб-приложении. Я тут уже говорил и о клиентах, аля электрон или nextcloud-appimage (хз на чем он, но вроде как раз электрон).

FTP есть и работает везде

FTP не работает нигде, причём везде по-разному. Во-первых, паталогические проблемы с non-ascii, наследие telnet. Причём независимо от того умеет ли это правильно обрабатывать сервер (т.е. дублировать 0xff), найдутся клиенты которые не умеют и наоборот. Во-вторых, ублюдский протокол с отдельным соединением на каждый трансфер, даже на list. Причём про активное можно сразу забыть потому что оно не долетит к клиентам за NAT, а для пассивного вызывает боль настройка фаирвола или проброса портов, потому что ему нужен сразу диапазон. Полное отсутствие SSL на практике, из-за чего принципиально нельзя надёжно передать файл - нужно сходить на сервер, посчитать там контрольную сумму, передать её на клиента, посчитать там и сравнить (можно считать это обязательно частью протокола). И я говорю не только про подсаживание налету троянов в скачиваемый софт (а я и этому был свидетелем), но и битые файлы как норма (хорошо видно по рассыпающимся кадрам в фильмах и по целой эпохе имён файлов с CRC в названии).

Короче, надеюсь эта уязвимость заставит как можно больше народу убить FTP сервера которые у них всё ещё работают, а те сервера которые никто по факту не админит поломают и нашпигуют троянами вместо их оригинального контента, в результате чего этот ублюдейший протокол станет распространён ещё чуть меньше.

и уж тем более не администрировали даже простенький демон аля freebsd ftp

У них поди там не сервер даже а через какой нибудь xinetd пашет.

Представляю что будет с http сервером если хотя бы 500 человек туда начнут заливать файлы сразу :) Пошли бы на вики что ли и почитали что за протокол такой http ;)

Я боюсь спросить — а аватарку ты как на лор загружал?

Правильно. И софт этот - FTP.

Представляю что будет с http сервером если хотя бы 500 человек туда начнут заливать файлы сразу

Как ж бедный фейсбук справляется-то.

Правильно. И софт этот - FTP.

*S3.

Массивы фронтов, вероятно, помогают.

Да. Было бы круто такое с ftp сделать, НО ВЕДЬ ОН НЕ СКАЛИРУЕТСЯ АХАХАХАХА. Простите.

• во-первых – не сталкивался, поверю на слово;
• во-вторых – боль и печаль, да, жуткое легаси;
• в-третьих – если админ не рукожоп и прикрутил валидный сертификат от тех же LE или нормальный самоподписанный то даже с последней файлзиллой проблем нет (которая теперь говняные сертификаты отвергает безоговорочно);
• и не говори – не зря все нормальные люди рядом с файлом как раз и выкладывают контрольные суммы сразу.

заставит как можно больше народу убить FTP сервера которые у них всё ещё работают

Ой не думаю. Если кто сегодня и использует FTP – то обычно это осознанное решение. А всякие разные давно сидят в амазонах разномастных и прочих облаках. И там их тоже имеют порой, ага.

поломают и нашпигуют троянами

Это касается любых сетевых ресурсов, все не обслуживаемое ломают, роняют или засоряют (форумы мертвые с зомбаками-ботами видел?).

Хз о чём ты, в последний раз через Атлантический океан перелил 20+ терабайт дня за 3-4, с перепроверками.

Чей-то кажется что вы нас обманываете. Или у вас отдельный гигабитный канал через атлантику ?

Я использую как демон в лоб. Ну и это простая тупая хренотень, а не полноценный сервер. Для более-менее серьезных задач как раз сабж уже используется.

Ну и как http поможет в заливке, кстати?

LOR поддерживает gravatar, внезапно. Или ты про что?

А, про http ты наоборот. А как тогда по твоему работают сотни веб-приложений с заливкой? В том числе чистые файлопомойки?

Как ж бедный фейсбук справляется-то.

Написал бы ютуб я бы еще понял, а рожа книга ... при том что сервак то там не один если что.

Да любой шаред-хостинг сидит на ФТП, а они не собираются подыхать в обозримом будущем.

И вы это одобряете?

Какой? Вот я решил что FTP труп и его надо закопать. На что мне мигрировать?

Например SFTP не подойдет?

Там жесткие ограничения на объем кстати. Да и по единовременному коннекту там тоже облом.

P.S. Не удивляюсь что мой вопрос про ФХП в игноре :) Правда поди никто не знает что это такое, ну хоть бы погугли :)

ну в ембеддеде еще используется. прошивку там закинуть.

И вы это одобряете?

Если прочитаешь полностью ветку, то увидишь моё видение будущего (спойлер: контейнеры во все поля).

Например SFTP не подойдет?

В текущем инструменте нет такой гибкости как у proftpd. А альтернативу мне так ни кто и назвал (потому что её нет).

Ограничения на скорость и на объемы выставляют на халяве или на относительно дешёвых тарифах – ну тупо же иначе ни каких физических мощностей тогда не хватит, а не ограничения протокола. Сам себе ты можешь все это убрать, если хостинг и канал выдержат.

P.S. Не удивляюсь что мой вопрос про ФХП в игноре :) Правда поди никто не знает что это такое, ну хоть бы погугли :)

Я что-то пропустил, яннп.

И telnet используется.

А чем ssh не устроил? Зарезать им шелл и пусть гоняют файлы под своей учёткой. Под все платформы уже давно софт есть, во всяких андроидах вообще из коробки в популярных фм.

Такой бородатый дядька, а про гугл не слышал. Веб-морд под файлопомойки уже дофига написали, на самых разных стеках.

Тем что на одного юзера ssh сейчас можно плодить множество юзеров ftp уже с своими правами. Это ограничение для ssh инструмента в продакшене, по крайней мере тех, которые я знаю. Иного инструмента для удобного руления ssh аналогичного по фичам proftpd ни кто не предлагает.

Еще раз – я не принципиально держусь за FTP. Я говорю что по большому счету альтернативы нет, клоуды всякие обычно оверхед, а sftp – недостаточно по удобству инструментов администрирования (клиентам пофиг, просто в десктопном клиенте указать протокол другой, все равно настраивают в большинстве по скриншотам).

Ага, и одна хуже другой, если ты про веб-морды файловые менеджеры. Ппро «клоуды» уже вспоминали – вот они еще более-менее могут быть альтернативой.

Кстати, сам удивился. Но там было много хорошо сжимаемых файлов, которые лежали не сжатыми...

Там обычно tftp, это другое

Не, вебдав очень тормозит, если надо несколько десятков гигов джипегов залить например

ftp это что-то времён gopher?

А что не будет тормозить на нескольких десятков гигов с кучей файлов по несколько метров?

Тебя в планах еще не было, а твоя мамка еще в дочки-матери играла.

Человек-манда только что изобрёл самбу.

Я уже тут говорил где я её видал.

Лучше бы ты самоудалился, как обещал. Опять обострение?

Зарегся и заигнорь, либо не ной.

Какой хороший тред и комментарии пятизвездочных.

моё видение будущего (спойлер: контейнеры во все поля).

Нет, это уже чересчур толсто.

Эээ… Вообще-то это уже мейнстрим, но не для всяких вропрессов, в для вещей посерьезнее. Кубернейтес, докер, шмокер, вот это всё.

Кстати, сам удивился. Но там было много хорошо сжимаемых файлов, которые лежали не сжатыми...

И все равно «не верю». Две виртуалки на одном хосте HDD 7200 rpm, хост не загружен, просто «поддиванный», тестовый файл из /dev/zero по scp между виртуалками(qemu-kvm qcow2 лежат на ext4) 63.7MB/s. Это чуть больше чем вы описали «Через атлантику» за четыре дня.

Например SFTP не подойдет?

В текущем инструменте нет такой гибкости как у proftpd. А альтернативу мне так ни кто и назвал (потому что её нет).

Всю ветку не читал, не интересно стало. Если не тяжело накиньте ссылок где было про гибкость.
Спасибо.

Объясню проще: нужен proftpd но для sftp. Так понятнее?

Так принимается.

Ну да,ты про пол интернета из роутеров с открытым 22 :)?

Аватарка одна, а товаров 15000ю И кто, то написал код загрузки аватарки. Есть готовый код загрузки файлов?

А можно ssh ограничить отдельным каталогом?

в гугле забанили? самое быстрое же netcat, но не самое удобное. Я проверял.

Домашний проект на пару файлов? Так у людей их значительно больше.

Засинкай 20-25М файлов после изменений, когда закончится - возвращайся.