Re: очередная дыра в Wu-FTPd

Ну и кто им еще пользуется?
vsftpd рулит! (ИМХО)
Маленький удобный и секурный. Вон даже в ProFTPD дыры недавно понаходили

Re: очередная дыра в Wu-FTPd

Шо? Опять?

Re: Re: очередная дыра в Wu-FTPd

Я придерживаюсь следующего:

vsftpd - для анонимного доступа по FTP (публичный FTP сервер)

pureftpd - для хостинга, доступа к домашним каталогам, etc.

Re: очередная дыра в Wu-FTPd

а есть какие сравнения vsftpd, proftpd, pureftpd, wu-ftpd?
хотелось бы пощупать их по скорости и возможностям... что с секюрносью достаточно ясно уже

Re: Re: Re: очередная дыра в Wu-FTPd

kftpd рулит, остальное попса

Re: Re: Re: Re: очередная дыра в Wu-FTPd

Чисто теоретически, произволный код выполнить нельзя в принципе... :)

Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

Чёто линукс совсем дырявый стал

Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

2anonymous (*) (27.10.2003 13:40:51)

> Чёто линукс совсем дырявый стал

Не говори... Как ты сюда пролез?...

Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

А он и был дырявым, только до последнего времени он никого не интересовал, а когда менеджеры раздули линукс до небес вот тут и начали сыпаться дыры пачками
Скоро вирусы полезут толпой

Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

Не полезут, ФС не позволит (в отличие от винды которая одна сплошная дыра)

Re: Re: очередная дыра в Wu-FTPd

proftpd тоже нормальный демон.
недавно в него включили опцию RootRevoke, так что подобные уязвимости больше работать не будут... во всяком случае права root точно не получите.

Re: очередная дыра в Wu-FTPd

Интересно, а его кто-нибудь использует ? А по поводу дырявости линуха,так эта шняга на всех юнихах работает. А на некоторых даже является дефолтным ftp-демоном (HP-UX). И наоборот, в RH 9 дефолтный vsFTPd. Так что, лохов прошу не высказываться.

Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

> Не полезут, ФС не позволит (в отличие от винды которая одна сплошная дыра)

Фичард Столлман? Финус Сорвальдс? Что-то больше идей нет...

Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

Теоретически и в винде непозволит
А вот практически...

Re: Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

ФС == файловая система, господин аноним-теоретик :)

Re: очередная дыра в Wu-FTPd

А какой ftp сервер позволяет задать кодировку в которой следует отдавать клиентам имена дирикторий и файлов? Установлена локаль koi8-r, соответственно в файловой системе имена заданы в koi8-r и ftp-сервером отдаются тоже в koi8-r. Виндузятники в панике. :)

На сколько я знаю, rfc для ftp протокола не разрешает использовать 8-битные имена в путях файлов, только 7-битные (ascii). Но не переименовывать же из-за этого сотни документов по английски.

Re: Re: Re: очередная дыра в Wu-FTPd

imho pureftpd - лучший фтп демон (http://pureftpd.org/)
перешел на него с proftpd

Re: Re: Re: Re: очередная дыра в Wu-FTPd

лучших не бывает. бывают только худщие ;)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

> ФС == файловая система, господин аноним-теоретик :)

ага. Т.е. фс файловая система сама определяет, есть ли фирус в файле и не дает его записывать? Куль, хочу! Дайте назфание или лынк

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

Нет, она всего лишь доступ разграничивает :)

про вирус в файле

2 anonymous (*) (27.10.2003 16:57:02):

> Т.е. фс файловая система сама определяет, есть ли фирус в файле и не дает его записывать?

Нет, не ФС, а один из ADF-модулей.

> Дайте назфание или лынк

http://www.rsbac.org

Модуль называется malware scan (хотя он, IMHO, не особо нужен)

про кодировки...

2 anonymous (*) (27.10.2003 15:53:16):

> Установлена локаль koi8-r,

Да ядру плевать, какая у Вас локаль установлена. Для "родных" ФС (ReiserFS, XFS, JFS, ... ) имя файла -- просто последовательность байт.

> соответственно в файловой системе имена заданы в koi8-r

Непонятно, соответственно _чему_ ?

> Виндузятники в панике. :)

А перекодировать в UNICODE или, на крайний случай, в CP1251 религия не позволяет? ( Хотя, конечно, это не по RFC -- но чего поделаешь-то? )

> Но не переименовывать же из-за этого сотни документов по английски.

Why not?

про дырявость...

2 anonymous (*) (27.10.2003 14:00:51):

> А он и был дырявым, только до последнего времени он никого не интересовал

А теперь ламерье, так и не научившееся администрировать NT, массово полезло в UNIXиды -- вот тут и посыпались пачками плоды их кривых ручонок.

Re: очередная дыра в Wu-FTPd

А я вот oftpd пользую - ему root'а в принципе не надо :)

Re: про дырявость...

> А теперь ламерье, так и не научившееся администрировать NT, массово полезло в UNIXиды -- вот тут и посыпались пачками плоды их кривых ручонок.

Плодами их кривых ручонок стали, надо полагать, дырки в wsftpd, openssh, линуксовом ядре и т.п.?

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

А не спутал ли ты Винду с Досом ? Вирусы ложили на файловую систему. Как файловая система может помешать такому червю, как Бласт ? Никак. (Разве что в ФС будет касперский встроен). При наличии соответствующей дыры червя можно и для Линукса запустить, что уже было. Но уже под виндой както не рулят такие вирусы - в основном трояны... трояны... трояны... Это самое плодовитое семейство, причем используется для зарабатывания денег, а не для утоления тщеславия, как Бласт. Самая примитивная схема распространения - аттач с выполнимым файлом. Юзер сам запустит все, что надо. Рутов рунете хватает, как выяснилось в топике про программу на перле в одну строчку :)))

Re: очередная дыра в Wu-FTPd

rh меня умиляет:

rpm -qlp wu-ftpd-2.6.2-11.73.1.src.rpm (летний апдэйт)

ftp.pamd

ftpaccess

ftpd.log

wu-ftpd-2.6.0-owners.patch

wu-ftpd-2.6.0-redhat.patch

wu-ftpd-2.6.2-realpatch.patch

wu-ftpd-2.7.0-20020304.tar.bz2 <<<<<<<<<<

wu-ftpd-2.7.0-snapshot-bison.patch

wu-ftpd-xinetd

wu-ftpd.spec

зато можем спать спокойно, седня нас не обворуют.

Re: Re: очередная дыра в Wu-FTPd

> А я вот oftpd пользую

А что такое oftpd? Это как xftpd, только круглый?

Re: очередная дыра в Wu-FTPd

wu-ftp выкинули, осталось выкинуть линух и проблем не будет

Re: Re: Re: Re: Re: Re: Re: Re: очередная дыра в Wu-FTPd

>>Не полезут, ФС не позволит (в отличие от винды которая одна сплошная дыра)

Мозги включи, а? При чем тут ФС? Как только все это море ламеров, соблазненных модой на линукс, начнут сидеть на своих боксах под рутами, а они начнут, так тут же линукс сдохнет под вирусами не хуже винды.

Re: про кодировки...

> Да ядру плевать, какая у Вас локаль установлена

Речь не про ядро - имена файлов записываются на диск теми символами, которые используются в текущей локали. Команда 'touch файл.txt' при установленной koi8-локали, запишет на диск название файла в koi8.

> Непонятно, соответственно _чему_ ?

Имелось ввиду: соответственно _текущей локали_. у меня -- koi8-r.

> А перекодировать в UNICODE или, на крайний случай, в CP1251 религия не позволяет?

А если это обыный домашний архив различных mp3/ogg/avi? Менять локаль на ru_RU.cp1251, только из-за того, что часть архива выложена на ftp желания нет. =) utf-8 локаль к сожалению поддерживают не все программы.

Re: Re: про кодировки...

А експлойт хде а нет експлойта нет дыры...

Re: Re: Re: Re: очередная дыра в Wu-FTPd

поддерживаю. pureftpd действительно хороший ftp демон
используется на хостинге в течении последнего года - никаких нареканий

про кривые ручонки...

2 anonymous (*) (27.10.2003 20:01:14):

> Плодами их кривых ручонок стали, надо полагать, дырки в wsftpd,

В чем-чем?

> openssh,

...которая позволяют разве что переполнить log'-и.

> линуксовом ядре

ptrace bug? Ляп, конечно, еще тот, но exploit не работает он в нормально настроенной системе...

P.S.

Программа, избавленная от глюков, впадает в нирвану. В нирване программы не глючат, но и не работают.