LINUX.ORG.RU
НовостиБезопасность

Дыра в WU-FTPD 2.6.x, 2.5.x


0

0

Обнаружена ошибка в ftp-демоне wu-ftpd, дающая возможность злоумышленнику используя специально подготовленное имя файла получить доступ на ftp-сервер. Ошибка заключается в освобождении сервером реально не выделенной памяти и по тому достаточно сложна для взлома, хотя техника использования таких ошибок существует и известна. В данный момент доступен авторский патч и официальные обновления для RedHat Linux.

>>> Подробности

★★★★★

Проверено:

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Весело однако! %)

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

А чего вы ожидали от wuftpd? Это же традиция.

ShadowJack
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Да, традиция вашингтонского университета :(

Havoc ★★★★
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

да :))))) очередная ошибка в wu-ftpd

cron
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

В WU говорят БГ учился ;) (влияние, понимаешь ;))

cornholio
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Нет, пардон, там его мамаша была

cornholio
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

И чего зря болтать ? Кто-нить пробовал написать реально работающий exploit по известной дырке ? Нет его и не будет... А так - трепотня одна.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Ну по другим эксплоиты были. И поэтой может будет. А может и нет. Кстати чего редхат так уцепился за этот ftp. Есть вразумительное объяснение?

shuras
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Да ну нафиг... абсолютно дурацкий ftpd... и настраивать его неудобно... имхо ftpd-BSD, или proFTPD если чего умного надо.

eXOR ★★★★★
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Да, круто! Я думал, что после дырки в site_exec, ребята из WU чему-то научились, ан нет... Ещё один аргумент в пользу перехода на proftpd.

rust
()

proftp

А кто знает: как разрешить в proftpd RETR одного файла если RETR на весь каталог запрещен?

fly
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

"Кто-нить пробовал написать реально работающий exploit по известной дырке ? Нет его и не будет... А так - трепотня одна."

Пробовал, и что? Конкретно в этом случае все там замечательно эксплойтится, так что не занимайся, как ты сам выразился "трепотней".

grange
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

да вот а на сайте Slackware так и нет обновлений и багфиксов. Потому что Slackware отстой.

PS а на самом деле, потому что там давно уже нет этого самого wu-ftpd

тональ

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

А я бы записал в отстой того админа, который юзает wu-ftpd, sendmail, bind.
К каждой из этих прог можно смело добавить приставку grabli- ;)

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

2 последний anonymous (*) (2001-11-29 21:36:36.0) ..wu-ftpd, sendmail, bind - а мне нравится. Работает и не ломается :) всякими там кул-хацкерами.

Админ.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Я ЗНАЛ! Я ЗНАЛ!

;)

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

BIND то за что? или так: что вместо BIND тогда юзать???

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Вместо bind нормальные админы юзают djbdns. Основные вендоры продолжают
пихать в дистрибутивы bind [buggy internet daemon] по простой причине - у djbdns
очень своеобразная лицензия, вернее ее полное отсутствие, а также прямое указание
автора на то, что распространять его прогу можно исключительно ничего не меняя в ней.
Вот тут и проблема. В rpm'e его поставить не удастся. Только в srpm.
А это несколько выходит из рамок стандартных правил. Так что выход один -
качать и ставить самостоятельно. Большого ума там не надо - make; make setup check.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Гром, тучи и... ...ScriptKiddies нависли над клавой в ожидании нового эксплоита...

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Ну sendmail и wu-ftpd дефствительно нормальные админы не ставят. А вот BIND как был так и будет основным демоном. Все баги в нем давно пофиксины. Так чтаааааааа нет панацеи надо просто быть в курсе событий и ставить апдейты.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Хм.. А тогда как же вы объясните, что такие "рулезны" qmail и djbdns до сих пор не являются частью *BSD ?? При том, что и сендмыл, и бинд входят в последние как часть base system...

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

> Все баги в нем давно пофиксины.

Да, и так каждые три месяца ;)

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

> qmail и djbdns до сих пор не являются частью *BSD ??

А что такое есть bsd и при чем тут оно? Эти проги отлично работают на добром десятке
различных платформ. У bsd они есть в портах...

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Я надеюсь, что вы различаете ports и base system?

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

> Я надеюсь, что вы различаете ports и base system?

А я надеюсь, что ports все еще "являются частью *BSD" ;)
Каков вопрос, таков и ответ.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

Хорошо... Есть такое понятие как "default install". Соответственно, конфиги в /etc, а не в /usr/local/etc, стартап-скрипты, и проч. Не кажется ли Вам, что все-таки у БСД пока с BIND'ом большее сродство, хотя бы потому, что, ставя БСД - вы ставите БИНД, а не джбднс. Еслм джбднс такой рулезный, почему бы его не засунуть в бэйз, а БИНД - отправить в порты? Тогда и гемору меньше, если кое кого тут послушать -- как никак, порты это 3рд парти софтварь, а значит гарантий ВООБЩЕ никаких... Чуете разницу?

anonymous
()
Ответ на: Re: Дыра в WU-FTPD 2.6.x, 2.5.x от anonymous

Re: Re: Дыра в WU-FTPD 2.6.x, 2.5.x

мда, default install... сейчас анекдот такой ходит - укол в сторону OpenBSD:
"А вы знаете, что MS-DOS вот уже 20 лет without remote hole in the default install?"
Шутки-шутками, а реальные причины можно узнать тут http://cr.yp.to/qmail/dist.html
Очень жесткие ограничения. Шаг влево, шаг вправо - считается побег. Расстрел на месте.
Плюс полное отсутствие каких-либо признаков лицензии. Это серьезные преграды для
любого дистрибутора.

> Еслм джбднс такой рулезный, почему бы его не засунуть в бэйз,
К-сожалению, истинные ценности никогда и ни в какие времена не были достоянием
массовой культуры... Это не случайность, а закон природы.

anonymous
()

Re: Дыра в WU-FTPD 2.6.x, 2.5.x

>Шутки-шутками, а реальные причины можно узнать тут >http://cr.yp.to/qmail/dist.html
>Очень жесткие ограничения. Шаг влево, шаг вправо - считается побег. >Расстрел на месте.

Ну, все не так плохо. Идем по вашему урлу и читаем:

If you want to distribute modified versions of qmail (including ports, no matter how minor the changes are) you'll have to get my approval.

Все достаточно просто, нужно всего лишь получить согласие автора.

>Плюс полное отсутствие каких-либо признаков лицензии. Это серьезные >преграды для любого дистрибутора.

С чего это вдруг? Можно подробнее, как "отсутствие" лицензии влият на распространение продукта? К тому же, лицензия там есть, хотько весьма специфическая.

>> Еслм джбднс такой рулезный, почему бы его не засунуть в бэйз,
>К-сожалению, истинные ценности никогда и ни в какие времена не были >достоянием массовой культуры... Это не случайность, а закон природы.

BSD тоже является достоянием далеко не массовой и именно культуры, и, вообще говоря, одна из лучших истинных ценностей, ИМХО.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность