Удаленная уязвимость в ftpd из NetBSD

Lukemftpd также дефолтный ftp сервер в MacOS X

Remote root... Сильно..

А говорили "дырявый ляпикс"... Везде есть дырки.

Бл%.....
Не знаю как в *BSD, но у меня его тоже есть. Хороший ftpd.

интересно а под фрю такая шняга работает

Опять эту дырявую BSD патчить.

Молчалибы лучше. У вас в ядре больше уязвимостей чем в *BSD вне ядра. Аудита сорцов небось досих пор нету

Тупые красноглазые дети.

Ман уже до конца дочитать не могут.

man ftpd

SECURITY CONSIDERATIONS

In order to increase security by reducing the potential for a bug in
ftpd providing a remote root compromise, ftpd will permanently drop root privileges if one of the following is true:

1. ftpd is running on a port greater than IPPORT_RESERVED and the user has logged in as a `guest' or `chroot' user.
2. ftpd was invoked with -r.

И что ? В любом случае есть возможность получить шелл, или это уже дырой не считается ?

Ты SA читал или нет?

If ftpd has been configured to run with the -r option, then your server
is not vulnerable. Adding -r may be an acceptable workaround for some
sites, until ftpd can be upgraded.

А теперь скажи, зачем пущать ftpd без дропанья рутовых прав?

Все это конечно так, но почему этот -r не добавлен в inetd.conf по умолчанию. Кроме того, уязвимостей в этом маленьком сервере обнаружен целый букет, так чта качество кода явно не на высоте.

По умолчанию он воопще выключен.

Думаю, что он уже давно устарел и никто им не пользуется.

> По умолчанию он воопще выключен.

> Думаю, что он уже давно устарел и никто им не пользуется

"A26: я с самого начала считал её неудачным схемным реЩением! да и не юзал никогда. мамой клянусь!!"

Ура! Саныч становится настоящим линуксоидом.

хммм вышло так что я обновил сорцы системы 2.0 как раз после того дня когда уязвимость пофиксили... как чувствовал что пора...

Ха! Саныч смешной, однако :-) :-)

Насмешил, потешил старика :-)

В-общем, ставим vsftpd и не забиваем голову подобным мусором.

IMHO достойных ftpd всего два: vsftpd и pure-ftpd. Лично я предпочитаю PureFTPd. И не только из-за лиценции. ;)

Я игрался с обоими (именно игрался - не продакшн), так вот имхо на vsftpd проще быстро поднять файлопомойку с анонимным доступом - что, собственно, мне и требовалось =)

Кстати, а с какого боку тут лицензия? У сервера-то? =)

> так вот имхо на vsftpd проще быстро поднять файлопомойку с анонимным доступом.

Тут, IMHO, затраты времени сравнимы: маны почти одной толщины. ;)

> что, собственно, мне и требовалось

У меня PureFTPd на виртуальном хостинге (>6000 клиентов на филиал). С авторизацией из радиуса, автосозданием хоумдиров из темплейта, проверкой аплоада drweb-ом, виртуальными квотами, чрутом и тд и тп. И на файлопомойке тоже он: ограничение коннектов, тротлинг, антиварез, чрут и тд.

> Кстати, а с какого боку тут лицензия? У сервера-то? =)

А это кость красноглазым. ;) vsftpd - GPL, PureFTPd - BSD.