В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

Обнаружена уязвимость в популярном FTP-сервере ProFTPD, позволяющая без авторизации производить копирование файлов на сервере.

Уязвимость находится в модуле mod_copy, с помощью команд SITE CPFR/SITE CPTO которого злоумышленник может, к примеру, скопировать файл /etc/passwd в /tmp/passwd.copy или даже организовать запуск кода на веб-сервере (примеры реализации приведены в баг-репорте).

По сообщениям пользователей, уязвимости подвержены такие операционные системы, как Ubuntu 14.04, Ubuntu 12.04, Debian 7.

>>> Подробности

После двух лет разработки вышел новый релиз ProFTPd — FTP-сервера для Linux и UNIX-подобных операционных систем.

Неполный список изменений:

• Конфигурация 1.1/1.2 TLS теперь работает корректно.
• В ftpasswd обеспечена поддержка хэшей SHA-512 и SHA-256 и добавлена возможность блокирования аккаунтов.
• В mod_sftp обеспечена поддержка расширения SFTP «fsync@openssh».
• Изменён формат времени в логах на ISO-8601.
• В mod_sql_passwd обеспечена поддержка алгоритма PBKDF2.
• В mod_sftp и mod_tls обеспечена поддержка методов шифрования ECDSA, ECDH и Elliptic Curve.
• В RewriteRule и RewriteCondition добавлена поддержка переменных с временем.
• Добавлен модуль mod_dnsbl для ограничения доступа по чёрному списку.
• Добавлен модуль mod_geoip для получения местоположения пользователя по IP-адресу.
• Добавлен модуль mod_snmp сбора статистики через протокол SNMPv1 и SNMPv2.
• В SFTPOptions добавлена опция IgnoreSCPUploadTimes для запрета изменения времени модификации и создания файлов;
• В SocketOptions добавлена опция keepalive для управления включением TCP keepalive.
• CapabilitiesRootRevoke для выборочного сброса root-доступа при использовании модуля mod_cap.
• LDAPLog для записи лога mod_ldap в отдельном файле.
• Обеспечена поддержка SSCN FTP для безопасной передачи данных между серверами.
• QuotaDefault для задания квоты по умолчанию, которая применяется модулем mod_quotatab если квота для пользователя явно не определена.
• В DenyFilter и AllowFilter обеспечена поддержка флагов [NC] и [nocase] для игнорирования регистра символов.

>>> Подробности

Вчера вышла новая версия популярного и гибко настраиваемого FTP-демона - ProFTPD 1.3.3. Основные изменения относительно 1.3.2:

• Добавлены переводы на французский, болгарский, корейский и тайваньский языки.
• Добавлена опция командной строки -S (--serveraddr), позволяющая указать IP-адрес машины. По умолчанию, proftpd пытается определить IP-адрес по имени хоста, но это не всегда возможно (например если на машине не настроен DNS).
• Новый модуль mod_exec, позволяющий запускать внешние скрипты, когда происходят какие-либо события.
• Новый модуль mod_sftp, реализующий протоколы SSH2, SFTP и SCP. В дополнение к этому модулю добавлены также модули mod_sftp_pam и mod_sftp_sql для поддержки соответствующих методов аутентификации пользователей.
• Новый модуль mod_shaper, позволяющий ограничивать скорость передачи данных для всего сервера.
• Новый модуль mod_sql_passwd, позволяющий хранить MD5- и SHA1-хеши паролей в базе данных.
• Также были исправлены разные ошибки, добавлены новые директивы конфигурации и сделаны другие изменения. Подробности смотрите в файлах Release Notes и News.

>>> Подробности