LINUX.ORG.RU

Критическая уязвимость в ProFTPD

 , ,


1

3

Обнаружена уязвимость в популярном FTP-сервере ProFTPD, позволяющая без авторизации производить копирование файлов на сервере.

Уязвимость находится в модуле mod_copy, с помощью команд SITE CPFR/SITE CPTO которого злоумышленник может, к примеру, скопировать файл /etc/passwd в /tmp/passwd.copy или даже организовать запуск кода на веб-сервере (примеры реализации приведены в баг-репорте).

По сообщениям пользователей, уязвимости подвержены такие операционные системы, как Ubuntu 14.04, Ubuntu 12.04, Debian 7.

>>> Подробности

anonymous

Проверено: maxcom ()

Счастливые обладатели рпм-дистров могут спать спокойно?
Хотя думаю, что вряд ли дыра зависит от типа пакетов.

Vier_E ★★★ ()

Этим кто-то еще пользуется ?

Valor ()

Критическая уязвимость в ProFTPD

Проверено: maxcom (11.04.2015 9:12:25)

2015

уязвимость разве что в человеческом факторе, что кто-то продолжает использовать ftp в 2015 году.

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

Если честно, то я так и не нашел аналога FTP
Ну если только SFTP
Ну а вообще, FTP умеет в через SSL работать

mystery ★★ ()

Уязвимость находится в модуле mod_copy

Надо ещё добавить, что модули могут не быть установлены.
А этот, и вовсе, из контриба:
http://www.castaglia.org/proftpd/modules/mod_copy.html

Installation
To install mod_copy, copy the mod_copy.c file into:

proftpd-dir/contrib/

AS ★★★★★ ()
Ответ на: комментарий от Vier_E

Счастливые обладатели рпм-дистров могут спать спокойно ?

Пакет, который с mod_copy, удали, и всё. Это если он собран. Вообще, для реализации базового функционала, proftpd в модулях не нуждается совсем.

AS ★★★★★ ()

Поцаны, а что с rhel? Есть в пакетах уязвимость?

anonymous ()
Ответ на: комментарий от Sergey1988

tftp/http/scp, не? Цыска, по крайней мере, умеет все из них. Другие, думаю, тоже.

blind_oracle ★★★★★ ()

Хорошо, что я отказался от убунт... Теперь только одни шрифты напоминают мне о нашей «любви».

Desmond_Hume ★★★★ ()
Ответ на: комментарий от Sergey1988

так же как прошивают без него и сейчас. Через tftp

onon ★★★ ()

ненужно, закопайте, 2015-ый год

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

Зачем это нужно, когда есть vsftpd?

Co6aku ()
Ответ на: комментарий от Spoofing

Многие заказчики отдельно просят поставить на веб-сервер FTP, потому-что привыкли его использовать на шаред-хостингах.
Я про SFTP конечно рассказываю, но всё же их убеждение требует некоторых усилий.

MrClon ★★★★★ ()

Я так понимаю, с грамотно настроенным SELinux эту уязвимость не получится эксплуатировать.

Legioner ★★★★★ ()

уязвимости подвержены такие операционные системы, как Ubuntu 14.04, Ubuntu 12.04,

даже организовать запуск кода на веб-сервере

в бубунте ж аппармор :-)

anonymous ()
Ответ на: комментарий от Co6aku

Ты допустил несколько опечаток в «Pure-FTPd».

anonymous ()
Ответ на: комментарий от Legioner

эту уязвимость не получится эксплуатировать.

Какую уязвимость ? Нашли проблемный модуль в (!!) контрибе ( maxcom), потом говорят, что у Proftpd проблемы. Если какие-то модули из контриба в каких-то дистрибутивах пакетят, это, во-первых, не значит, что их пакетят везде, во-вторых, не значит, что их ставят. Модули не из контриба, и то не ставят, зачастую (мне вот ни разу нужны не были).

AS ★★★★★ ()

Так ведь в /etc/passwd нет полезной информации? Вся мякотка в shadow? Или я ННП?

anonymous ()

В 2015ом кто-то использует фтп? о_О

l0stparadise ★★★★★ ()
Ответ на: комментарий от anonymous

Или я ННП ?

Проблема не в этом, а в принципиальной доступности произвольных файлов кому угодно без аторизации раз, и в возможности что-то куда-то записать, опять же, без авторизации, два. В общем-то, ничего хорошего, конечно.

AS ★★★★★ ()
Ответ на: комментарий от l0stparadise

В 2015ом кто-то использует фтп? о_О

Как-будто кривой код - это ftp-специфичная проблема, ога. У ftp только одна проблема - передача пароля (и данных) в открытом виде. Но в ситуациях, когда это не является проблемой, это вполне нормальный протокол. Тут вот с vsftpd сравнивали, или с Pure-FTPd. Это вот нормально, но с точки зрения разработчиков и кода, но никак не протокола.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

Классное отверстие.

PS: давно перелез на pure-ftpd, все нравится

У ftp только одна проблема - передача пароля (и данных) в открытом виде

А также передача данных и команд по разным портам

invokercd ★★★★ ()
Последнее исправление: invokercd (всего исправлений: 1)
Ответ на: комментарий от AS

Да, Вы правы, это я не заметил оборота

,к примеру,

anonymous ()
Ответ на: комментарий от Legioner

Я так понимаю, с грамотно настроенным SELinux эту уязвимость не получится эксплуатировать.

Но у тебя такого нет. И ни у кого нет. Такая вот печаль.

anonymous ()
Ответ на: комментарий от Spoofing

Почему я не должен использовать FTP в 2015 году?

Xegai ★★ ()
Ответ на: комментарий от Shadow

Эээ... А что не так с proftpd?

Да все. Это как у школьниц, в наши людоедские времена. В грязных трусиках девочки ходят на свидания ровно один раз в своей жизни.

sspzd ()
Ответ на: комментарий от AS

Для меня передача пароля плейнтекстом - достаточный аргумент отказа от протокола :) Не спорю, что протокол неплохой сам по себе, но я параноик плейнтекст не люблю.

l0stparadise ★★★★★ ()
Ответ на: комментарий от l0stparadise

передача пароля плейнтекстом

Для anonymous FTP это без разницы.

edigaryev ★★★★★ ()
Ответ на: комментарий от l0stparadise

В 2015ом кто-то использует фтп? о_О

А то, детка, перестань читать ЛОР и купи себе модные трусики.

Creating New FTP Site with Isolate Users Using Active Directory Mode IIS 6.0.

sspzd ()
Ответ на: комментарий от sspzd

Кстати, детка, если знаешь эти слова про Isolate Users Using Active Directory, можешь поднять от 2-5к просто влегкую.

sspzd ()
Ответ на: комментарий от AS

Пакет, который с mod_copy, удали, и всё. Это если он собран. Вообще, для реализации базового функционала, proftpd в модулях не нуждается совсем.

А то. Ты еще про sendmail нам запарь, дядя Сережа, и как в ваших колхозах зарплату выдают еще молочными девками с котятками на руках.

sspzd ()
Ответ на: комментарий от sspzd

А то. Ты еще про sendmail нам запарь

А ты про что можешь запарить ? :-)

AS ★★★★★ ()
Ответ на: комментарий от sspzd

Ну и бред https://support.microsoft.com/ru-ru/kb/555205

Т.е. они только сейчас до этого додумались?

3 different modi are supported: - No isolation, which causes users to be able to traverse to folders of other users. - Isolation based on folders. In this case, a FTP root folder is set up and each user has a dedicated, sandboxed subfolder. - Isolation based on Active Directory. With this option, the user's FTP settings are stored as attributes of the corresponding user object in Active Directory. A big deal of flexibility is possible using this option.

можешь поднять от 2-5к просто влегкую.

Покажи мне того работадателя, кто платит 5k$ за настройку web/ftp сервера? Хочу поржать.

anonymous ()
Ответ на: комментарий от anonymous

все нормальные хостинги в сша, даже мелкие.

erzent ☆☆ ()

реально еще кто-то использует FTP? Ну и как там, в 1998 году-то?

anonymous ()
Ответ на: комментарий от AS

А ты про что можешь запарить ? :-)

Про студенток из Беркли с отпадными попками.

sspzd ()
Ответ на: комментарий от anonymous

реально еще кто-то использует FTP? Ну и как там, в 1998 году-то?

Если ты и твои тупые друзья из школы используете vk.com для передачи файлов, это не значит, что серьезные люди должны делать так же.

anonymous ()
Ответ на: комментарий от l0stparadise

Для меня передача пароля плейнтекстом - достаточный аргумент отказа от протокола :)

там tls уже лет 12 как (на моей памяти, а может и больше)

anonymous ()
Ответ на: комментарий от anonymous

реально еще кто-то использует FTP? Ну и как там, в 1998 году-то?

Хорошие новости, чувак. Ты выжил. По сравнению с инкубатором для недоношеных детей, откуда тебя достали, ничего не изменилось. Мамки-няньки с большими сиськами, больше негритянок, но я надеюсь, ты - не расист. Это сейчас не модно.

sspzd ()

ftp
2015

Все правильно, люди, не умеющие в WebDAV, должны страдать. Тем более, нафиг вообще возможность копирования файлов на сервере нужна клиенту? Что за костыли?

cherry-pick ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.