LINUX.ORG.RU

Бэкдор в FTP-сервере vsftpd

 ,


0

2

Крис Эванс (Chris Evans), автор «самого быстрого и защищенного» FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности

★★★★★

Проверено: maxcom ()

Это вам не шуточки, пошел проверять версию.

splinter ★★★★★ ()
manager@skip-1:~$ vsftpd -v
vsftpd: version 2.3.0

Все таки старый конь борозды не портит.

splinter ★★★★★ ()
Ответ на: комментарий от splinter

Я всегда говорил что пуре лучше защищен ( и легче и фичастее )

mx__ ★★★★★ ()

> Very Secure FTPD

очень иронично

x0r ★★★★★ ()

Хорошо, что я давно перешёл на pure-ftpd

overmind88 ★★★★★ ()

у меня старая версия =)
rpm -q vsftpd vsftpd-2.0.5-16.el5_6.1

alikhantara ()

> сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой

Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

dm1024 ★★★ ()
Ответ на: комментарий от anonymous

vsftpd -v[br] vsftpd: version 2.3.4

yum update vsftpd[br] Загружены модули: presto, refresh-packagekit[br] Подготовка к обновлению[br] Нет пакетов, отмеченных для обновления

Russian Fedora 13 )

ESTAF ★★★ ()

Эпичный логин, автор - молодец.

cipher ★★★★★ ()

кто нибудь уже крикнул ;«Решето!» не?

sl4mmer ()
Ответ на: комментарий от sl4mmer

да, у него с отцом проблемы, смотри тред внимательно

pylin ★★★★★ ()
Ответ на: комментарий от dm1024

> Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

anonymous ()
Ответ на: комментарий от anonymous

те когда тебя через эту дверь поимеют то тебе будет легче что
это дыра в инфраструктуре ? ;)

mx__ ★★★★★ ()

Чудесно. Федорный .spec подпись не проверяет. Хотя мог бы и очень легко. И вот так у нас всё.

legolegs ★★★★★ ()
Ответ на: комментарий от anonymous

>Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

+1

pinachet ★★★★★ ()

Очень интересно, у меня на Gentoo именно эта версия, но в исходника этого кода нет.

Другой источник?

anonymous ()
Ответ на: комментарий от mx__

> те когда тебя через эту дверь поимеют то тебе будет легче что это дыра в инфраструктуре ? ;)

Ну так это могла наверное быть и проблема с хостингом? Помню, я как-то долго убеждал одного хостера обновить ядро на сервере, на что получал ответы, что из контейнеров OpenVZ затруднительно использовать уязвимости ядра, поэтому можно не беспокоиться. Но потом всё-таки обновили, а то уже собирался менять хостинг. Может и там было что-то такое, и админы придерживались политики «не трогай то, что работает» и в смысле обновлений системы?

askh ★★★★ ()

>Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)"
Весело

fero ★★★★ ()
Ответ на: комментарий от anonymous

Можешь проверить, grep «2.3.4.tar.gz» /usr/portage/net-ftp/vsftpd/Manifest, sha256 не совпадает с тем что из новости для «плохого» архива. Видимо на зеркалах лежат неизменённые исходники.

octy ★★ ()
Ответ на: комментарий от anonymous

> Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

dm1024 ★★★ ()

Интересно, в Gentoo хэши для версии без бэкдора?

DIST vsftpd-2.3.4.tar.gz 187043
RMD160 4097b495b5b03833e18b1639931939c3176e498b
SHA1 b774cc6b4c50e20f4fe9ca7f6aa74169ce7fe5ea
SHA256 b466edf96437afa2b2bea6981d4ab8b0204b83ca0a2ac94bef6b62b42cc71a5a
liberte ()
Ответ на: комментарий от splinter

попробовал. у меня 2.3.4. Не работает - порт не открывает

Pinkbyte ★★★★★ ()
Ответ на: комментарий от dm1024

Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе? После того, как взломали бы стопицот систем?

novell ()
Ответ на: комментарий от Pinkbyte

> попробовал. у меня 2.3.4. Не работает - порт не открывает

Давай мы попробуем, говори IP-адрес.

dm1024 ★★★ ()
Ответ на: комментарий от dm1024

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

Если подпись у кода с бэкдором не совпадает, то это действительно инфраструктура. Сверка подписи перед компиляцией бинарника или добавление хэша архива в репозиторий, основанный на исходном коде — задача дистрибутива.

liberte ()

vsftpd -v
vsftpd: version 2.3.2

Debian stable FTW.

Alsvartr ★★★★★ ()
Ответ на: комментарий от novell

> Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе?

На операстов давите?

dm1024 ★★★ ()

Если разрешён только анонимус (как довольно часто и используют vsftpd), фича работает?

Кстати, ну ждёт оно подключений на 6200 порту, и что дальше-то?

kid_lester ()

А вообще, теперь vsftpd готов для десктопа, раз уж поломать его почти так же просто, как mswindows.

kid_lester ()
Ответ на: комментарий от Pinkbyte

аналогично

[root@helix fletch]# vsftpd -v
vsftpd: version 2.3.4
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]# 
Естественно, параллельно в браузере пытаюсь залогиниться смайликом.

Fletch ★★ ()
Ответ на: комментарий от anonymous

В генте цифровая подпись проверяется какбы

xorik ★★★★★ ()

Интересно, успел кто-нибудь от этого пострадать или нет?

pevzi ★★★★★ ()

> Крис Эванс (Chris Evans)

Он в «Сотовом» не снимался часом?

anonymous ()

а всего лишь надо делать всё по правилам, например DMZ за отдельным роутером и chroot. А вообще странно, что сделано именно так (другой порт, никакого оповещения), в дистрибутивы эта версия попадала как-нибудь ?

temporary ★★ ()

iptables -A INPUT -p tcp -m tcp --dport ftp -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable

Внимание, вопрос - меня коснётся эта дыра? :)

anonymous ()

Хорошо что нашли. Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО . Дальше еще не раз услышим о подобном .

livedock ()

Сначала proftpd, теперь vsftpd! Они идиоты чтоли?

flareguner ()
Ответ на: комментарий от livedock

Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО

Просто убейся.

flareguner ()

За такое надо отрывать яйца разрабам и тем, кто отвечает за инфраструктуру, вне зависимости от чего либо.

flareguner ()
Ответ на: комментарий от kid_lester

> А вообще, теперь vsftpd готов для десктопа, раз уж поломать его почти так же просто, как mswindows.

С бекдором всё что угодно легко поломать.

ded_mopozzz2 ★★ ()
$ eix vsftpd
[I] net-ftp/vsftpd
     Available versions:  2.2.2 ~2.3.2 2.3.2-r1 2.3.4 {caps pam selinux ssl tcpd xinetd}
     Installed versions:  2.3.4(11:58:39 16.03.2011)(pam ssl tcpd xinetd -caps -selinux)
     Homepage:            http://vsftpd.beasts.org/
     Description:         Very Secure FTP Daemon written with speed, size and security in mind

Мдя...

Black_Shadow ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.