LINUX.ORG.RU

Бэкдор в FTP-сервере vsftpd

 ,


0

2

Крис Эванс (Chris Evans), автор «самого быстрого и защищенного» FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности

★★★★★

Проверено: maxcom ()

> Very Secure FTPD

очень иронично

x0r ★★★★★
()

Хорошо, что я давно перешёл на pure-ftpd

overmind88 ★★★★★
()

> сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой

Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

dm1024 ★★★
()
Ответ на: комментарий от anonymous

vsftpd -v[br] vsftpd: version 2.3.4

yum update vsftpd[br] Загружены модули: presto, refresh-packagekit[br] Подготовка к обновлению[br] Нет пакетов, отмеченных для обновления

Russian Fedora 13 )

ESTAF ★★★
()

Эпичный логин, автор - молодец.

cipher ★★★★★
()
Ответ на: комментарий от dm1024

> Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

anonymous
()

Чудесно. Федорный .spec подпись не проверяет. Хотя мог бы и очень легко. И вот так у нас всё.

legolegs ★★★★★
()
Ответ на: комментарий от anonymous

>Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

+1

pinachet ★★★★★
()

Очень интересно, у меня на Gentoo именно эта версия, но в исходника этого кода нет.

Другой источник?

anonymous
()
Ответ на: комментарий от mx__

> те когда тебя через эту дверь поимеют то тебе будет легче что это дыра в инфраструктуре ? ;)

Ну так это могла наверное быть и проблема с хостингом? Помню, я как-то долго убеждал одного хостера обновить ядро на сервере, на что получал ответы, что из контейнеров OpenVZ затруднительно использовать уязвимости ядра, поэтому можно не беспокоиться. Но потом всё-таки обновили, а то уже собирался менять хостинг. Может и там было что-то такое, и админы придерживались политики «не трогай то, что работает» и в смысле обновлений системы?

askh ★★★★
()

>Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)"
Весело

fero ★★★★
()
Ответ на: комментарий от anonymous

Можешь проверить, grep «2.3.4.tar.gz» /usr/portage/net-ftp/vsftpd/Manifest, sha256 не совпадает с тем что из новости для «плохого» архива. Видимо на зеркалах лежат неизменённые исходники.

octy ★★
()
Ответ на: комментарий от anonymous

> Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

dm1024 ★★★
()

Интересно, в Gentoo хэши для версии без бэкдора?

DIST vsftpd-2.3.4.tar.gz 187043
RMD160 4097b495b5b03833e18b1639931939c3176e498b
SHA1 b774cc6b4c50e20f4fe9ca7f6aa74169ce7fe5ea
SHA256 b466edf96437afa2b2bea6981d4ab8b0204b83ca0a2ac94bef6b62b42cc71a5a
liberte
()
Ответ на: комментарий от dm1024

Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе? После того, как взломали бы стопицот систем?

novell
()
Ответ на: комментарий от Pinkbyte

> попробовал. у меня 2.3.4. Не работает - порт не открывает

Давай мы попробуем, говори IP-адрес.

dm1024 ★★★
()
Ответ на: комментарий от dm1024

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

Если подпись у кода с бэкдором не совпадает, то это действительно инфраструктура. Сверка подписи перед компиляцией бинарника или добавление хэша архива в репозиторий, основанный на исходном коде — задача дистрибутива.

liberte
()

vsftpd -v
vsftpd: version 2.3.2

Debian stable FTW.

Alsvartr ★★★★★
()
Ответ на: комментарий от novell

> Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе?

На операстов давите?

dm1024 ★★★
()

Да уж, иронично.

pevzi ★★★★★
()

Если разрешён только анонимус (как довольно часто и используют vsftpd), фича работает?

Кстати, ну ждёт оно подключений на 6200 порту, и что дальше-то?

kid_lester
()
Ответ на: комментарий от Pinkbyte

аналогично

[root@helix fletch]# vsftpd -v
vsftpd: version 2.3.4
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]# 
Естественно, параллельно в браузере пытаюсь залогиниться смайликом.

Fletch ★★
()
Ответ на: комментарий от anonymous

В генте цифровая подпись проверяется какбы

xorik ★★★★★
()

Интересно, успел кто-нибудь от этого пострадать или нет?

pevzi ★★★★★
()

а всего лишь надо делать всё по правилам, например DMZ за отдельным роутером и chroot. А вообще странно, что сделано именно так (другой порт, никакого оповещения), в дистрибутивы эта версия попадала как-нибудь ?

temporary ★★
()

iptables -A INPUT -p tcp -m tcp --dport ftp -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable

Внимание, вопрос - меня коснётся эта дыра? :)

anonymous
()

Хорошо что нашли. Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО . Дальше еще не раз услышим о подобном .

livedock
()

Сначала proftpd, теперь vsftpd! Они идиоты чтоли?

flareguner
()
Ответ на: комментарий от livedock

Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО

Просто убейся.

flareguner
()

За такое надо отрывать яйца разрабам и тем, кто отвечает за инфраструктуру, вне зависимости от чего либо.

flareguner
()
Ответ на: комментарий от kid_lester

> А вообще, теперь vsftpd готов для десктопа, раз уж поломать его почти так же просто, как mswindows.

С бекдором всё что угодно легко поломать.

Deleted
()
$ eix vsftpd
[I] net-ftp/vsftpd
     Available versions:  2.2.2 ~2.3.2 2.3.2-r1 2.3.4 {caps pam selinux ssl tcpd xinetd}
     Installed versions:  2.3.4(11:58:39 16.03.2011)(pam ssl tcpd xinetd -caps -selinux)
     Homepage:            http://vsftpd.beasts.org/
     Description:         Very Secure FTP Daemon written with speed, size and security in mind

Мдя...

Black_Shadow ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.