LINUX.ORG.RU

Очередной удаленный DoS на Pure-FTPD


0

0

Найдена уязвимость, позволяющая произвести DoS на Pure-FTPD. Когда в Pure-FTPD достигается максимально возможное количество открытых сессий (которое указано в настройках), демон pure-ftpd аварийно завершает свою работу.

>>> Подробности

anonymous

Проверено: Demetrio ()

Re: Очередной удаленный DoS на Pure-FTPD

Гадом буду, читал о сабже неделю назад... блин тока в упор не помню где :[ Это... предложения типа админам... вы бы убрали это голосовало "Типа отчего ЛОР станет лучше" - ЛОР хорош в своем стихийном развитии , а замутили голосовалку на самый оперативный и компетентный источник о наличии дырок в безопасности, и именно дыр, а не способов их пропатчивания все-таки, кто потеет, тот найдет.

dObryi ()

Re: Очередной удаленный DoS на Pure-FTPD

Странно, этот сервер раньше в дырках замечен не был.

anonymous ()
Ответ на: Re: Очередной удаленный DoS на Pure-FTPD от anonymous

Re: Re: Очередной удаленный DoS на Pure-FTPD

Написано же, что "очередной" :) А вообще, прикольная, конечно дырка - такую вполне штатную ситуацию не отбетатестили...

anonymous ()

Re: Очередной удаленный DoS на Pure-FTPD

> Когда в Pure-FTPD достигается максимально возможное количество открытых сессий (которое указано в настройках), демон pure-ftpd аварийно завершает свою работу.

Я плакаль... =)

Может кто-нибудь объяснить, как ТАКОЕ вообще может прокрасться в production-quality сервер? Или его под нагрузкой никто не гоняет?

int19h ★★★★ ()
Ответ на: Re: Очередной удаленный DoS на Pure-FTPD от anonymous

Re: Re: Очередной удаленный DoS на Pure-FTPD

> Странно, этот сервер раньше в дырках замечен не был.

Да пофиг. Новости "сто лет в обед" все, кому надо проапгрейдились.
Ктому же это root shell.

anonymous ()

Re: Очередной удаленный DoS на Pure-FTPD

На www.securitylab.ru анонс 6 июля, а пофиксенная версия (1.0.19) была 20 июня. А было это изначально в рассылке pure-ftpd.

anonymous ()

Re: Очередной удаленный DoS на Pure-FTPD

Все дружно переходим на muddleftpd (http://www.nongnu.org/muddleftpd/features.html)

Muddleftpd is a secure, lightweight and flexible FTP server originally written by Beau Kuiper. The server was designed to allow a vast number of configurations; from closely integrating with the system and using PAM to running as a non-root user with per-directory configurations. Yet it also manages to be easy to set up.

The small size of the daemon helps make it very resource efficient, yet it doesn't compromise at all in functionality. In fact it offers a number of extra features to help with security. Most noticable is the fact that unlike most FTP servers currently available the daemon has no need for root privilegdes, therefore even if the daemon is compromised a malicious user will have no elevated access.

anonymous ()
Ответ на: Re: Очередной удаленный DoS на Pure-FTPD от anonymous

Re: Re: Очередной удаленный DoS на Pure-FTPD

> Все дружно переходим на muddleftpd

Долго жил он у меня, года три наверное. Неплохой сервер, но конфиг
замороченный. Слабо поддаётся скриптованию. Сейчас тестирую и смотрю
на twoftpd.

anonymous ()
Ответ на: Re: Re: Очередной удаленный DoS на Pure-FTPD от anonymous

Re: Re: Re: Очередной удаленный DoS на Pure-FTPD

>> Все дружно переходим на muddleftpd

> Долго жил он у меня, года три наверное. Неплохой сервер, но конфиг
> замороченный. Слабо поддаётся скриптованию. Сейчас тестирую и смотрю
> на twoftpd.

Да не очень и замороченный. Скорее наоборот - всё по группам разложено - очень удобно управляться. Чем-то на самбовский конфиг похож. ;)

anonymous ()

Re: Очередной удаленный DoS на Pure-FTPD

кому нужен удалённый DOS, когда только что вышел dosemu 1.3.1?

anonymous ()
Ответ на: Re: Re: Re: Очередной удаленный DoS на Pure-FTPD от anonymous

Re: Re: Re: Re: Очередной удаленный DoS на Pure-FTPD

> Да не очень и замороченный.

Ну вот, к примеру, надо написать скрипт добавления нового пользователя.
Всё, приехали. Без вмешательства человека с редактором ничего не
сделаешь. Это и есть зло в подобных конфигах. Сам сервер интересный и
очень гибкий, и тем более интересно его использовать для массового
хостинга, но конфиг нужно полностью переписывать для этого. Разбивать
его на логические куски, писать парсеры, потом клеить. Гиморно.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.