Вышла новая версия SFTPGo — SFTP-сервера с обширными возможностями, написанного на языке Go. Помимо протокола SFTP, сервер также поддерживает FTP/S и WebDAV.

Основные изменения:

• SFTPGo теперь поддерживает встроенную двухфакторную аутентификацию (2FA) на основе временных одноразовых паролей (RFC 6238), которая работает с Authy, Google Authenticator и другими совместимыми приложениями.

• Добавлена поддержка плагинов.

• Улучшен механизм общего доступа в веб-клиенте: вы можете создавать HTTP/S ссылки для безопасного внешнего обмена файлами и каталогами, устанавливая ограничения на количество скачиваний/загрузок, защищая общий ресурс паролем, ограничивая доступ по IP-адресу источника, устанавливая автоматическую дату истечения срока действия.

• Несовместимое изменение конфигурации: больше нельзя передавать аргументы внешним приложениям в хуках.

>>> Подробности

Доступен Firefox 88.

( читать дальше... )

15 апреля Mozilla объявила о решении удалить из Firefox поддержку протокола FTP. В запланированном на 19 апреля выпуске Firefox 88 поддержка FTP будет пока просто отключена по умолчанию (настройка browserSettings.ftpProtocolEnabled будет переведена в режим «только для чтения»). В 90 версии браузера планируется удаление кода, обеспечивающего поддержку этого протокола.

Теперь при открытии ссылок, начинающихся с ftp:// будет открываться стороннее приложение для работы с этим протоколом, при условии, что оно установлено в системе и заданы соответствующие настройки приложений по умолчанию.

Причиной прекращения поддержки FTP называется незащищенность протокола от перехвата и модификации трафика при MITM-атаках. По мнению разработчиков для загрузки файлов в современных условиях лучше использовать протокол HTTPS. Также отмечено, что код поддержки FTP достаточно старый, что создает проблемы при его поддержке и сопровождении.

>>> Подробности

После долгих лет обслуживания пользователей, на фоне снижающегося уровня использования за счет выбора пользователями лучших альтернатив, все общедоступные FTP-сервера debian.org будут остановлены 1 ноября 2017 года. К таковым относятся:

• ftp://ftp.debian.org
• ftp://security.debian.org

Это решение обусловлено следующими соображениями:

• FTP-серверы не обладают какой-либо поддержкой кэширования или других вариантов ускорения.
• Большинство реализаций программного обеспечения (FTP-серверов) уже на стадии стагнации и неудобны в использовании и настройке.
• Уровень использования FTP-сервера является довольно низким, так как собственный инсталлятор Debian не предлагает FTP как способ доступа к зеркалам на протяжении более десяти лет.
• Протокол FTP является неэффективным и требует добавления неудобных модулей к брандмауэрам и к демонам балансировки нагрузки.

DNS-имена ftp://ftp.debian.org и ftp.<CC>.debian.org остались те же. Изменился только протокол — HTTP:

• http://ftp.debian.org
• http://security.debian.org

Информация для разработчиков: сервисы для разработчиков не затронуты. Очереди загрузки для основного архива и архива безопасности:

• ftp://ftp.upload.debian.org
• ftp://security-master.debian.org

>>> Подробности

Обнаружена уязвимость в популярном FTP-сервере ProFTPD, позволяющая без авторизации производить копирование файлов на сервере.

Уязвимость находится в модуле mod_copy, с помощью команд SITE CPFR/SITE CPTO которого злоумышленник может, к примеру, скопировать файл /etc/passwd в /tmp/passwd.copy или даже организовать запуск кода на веб-сервере (примеры реализации приведены в баг-репорте).

По сообщениям пользователей, уязвимости подвержены такие операционные системы, как Ubuntu 14.04, Ubuntu 12.04, Debian 7.

>>> Подробности

После двух лет разработки вышел новый релиз ProFTPd — FTP-сервера для Linux и UNIX-подобных операционных систем.

Неполный список изменений:

• Конфигурация 1.1/1.2 TLS теперь работает корректно.
• В ftpasswd обеспечена поддержка хэшей SHA-512 и SHA-256 и добавлена возможность блокирования аккаунтов.
• В mod_sftp обеспечена поддержка расширения SFTP «fsync@openssh».
• Изменён формат времени в логах на ISO-8601.
• В mod_sql_passwd обеспечена поддержка алгоритма PBKDF2.
• В mod_sftp и mod_tls обеспечена поддержка методов шифрования ECDSA, ECDH и Elliptic Curve.
• В RewriteRule и RewriteCondition добавлена поддержка переменных с временем.
• Добавлен модуль mod_dnsbl для ограничения доступа по чёрному списку.
• Добавлен модуль mod_geoip для получения местоположения пользователя по IP-адресу.
• Добавлен модуль mod_snmp сбора статистики через протокол SNMPv1 и SNMPv2.
• В SFTPOptions добавлена опция IgnoreSCPUploadTimes для запрета изменения времени модификации и создания файлов;
• В SocketOptions добавлена опция keepalive для управления включением TCP keepalive.
• CapabilitiesRootRevoke для выборочного сброса root-доступа при использовании модуля mod_cap.
• LDAPLog для записи лога mod_ldap в отдельном файле.
• Обеспечена поддержка SSCN FTP для безопасной передачи данных между серверами.
• QuotaDefault для задания квоты по умолчанию, которая применяется модулем mod_quotatab если квота для пользователя явно не определена.
• В DenyFilter и AllowFilter обеспечена поддержка флагов [NC] и [nocase] для игнорирования регистра символов.

>>> Подробности

Как стало известно от разработчиков проекта FileZilla, 28 марта 2014 года вышел очередной выпуск под номером 3.8.0 FileZilla — FTP-клиент, предназначенный для загрузки и скачивания файлов с ftp-серверов. Среди изменений стоит отметить следующие:

• Новые возможности:
  • OS X: Реализован перезапуск, отключение и приостановление очередей завершения.
• Исправление ошибок:
  • Исправлено поведение контекстного меню (оно более не открывается, если уже имеются другие открытые диалоговые окна).
  • Исправлен некорректный обсчет скорости передачи данных.
  • Устранены ошибки при захвате фокуса элемента в локальных каталогах при подключении к сайту с локального каталога.
  • Небольшие исправления в модуле автообновления.

>>> Подробности

Вышла новая версия проекта AHC — 1.0, предназначенная для разработчиков на языках Python и PHP. Основной идей проекта является быстрое развертывание проектов на локальной машине разработчика (production сервера не являются исключением).

• Шифрование директории проектов. Быстрое добавление/удаление виртуальных хостов (проектов) для php, python и django framework.
• Веб-сервером выступает либо apache, или же nginx (FastCGI).
• Быстрое добавление баз данных и пользователей для MySQL.
• FTP-аккаунты, как для созданных хостов, так и для отдельно указанных директорий.
• Для Apache существует поддержка оптимизации статики с использованием директив mod_headers и mod_expires; защита посредством сертификатов, сгенерированных для пользователей (пока доступно только для одного хоста).
• Есть возможность установить конфигурацию Nginx для проксирования запросов на Apache.
• Настройка зон для Bind с указанием на созданные хосты. Субдомены не являются исключением и хранятся в основном файле зоны.
• В ближайшее время будет добавлена поддержка git deployment.

Проект ориентирован на пользователей, использующих дистрибутивы на основе Debian. Помощь по портированию на Redhat-подобные дистрибутивы приветствуется.

Git-репозиторий

>>> Сайт проекта

Vsftpd — быстрый и безопасный FTP-сервер для Unix-подобных операционных систем (включая Linux), распространяемый на условиях лицензии GPL.

Основные новшества:

• поддержка seccomp;
• AES128-SHA задействован в качестве SSL-шифра по умолчанию;
• широкий спектр средств защиты: выполнение в chroot, контроль файловых дескрипторов, пространства имён и др.
• кроме того, устранены проблемы при работе в пассивном режиме при высокой нагрузке, а также проблемы с таймаутами при использовании SSL;
• исправлены некоторые незначительные ошибки.

>>> Подробности

Сайт SecurityReason сообщает об обнаружении опасной ошибки в реализации библиотечной функции glob() из стандартной библиотеки языка C (libc) на множестве платформ.

Эта функция предназначена для получения списка файлов, чьи имена удовлетворяют заданному шаблону. Ошибка заключается в том, что ограничение на выдачу функции, задаваемое переменной GLOB_LIMIT, не действует в случае задания некорректных путей в шаблоне. Такими некорректными значениями могут быть, например, «*/../*/../*foo» или «{..,..,..}/*/{..,..,..}/*bar». При этом вызов функции glob() может исчерпать всю доступную память процесса.

Особенную опасность данная ошибка представляет для (S)FTP-серверов, особенно с разрешенным анонимным доступом. Очевидно, запрос на листинг файлов с вышеприведенной маской приводит к скорому отказу в обслуживании FTP-сервера.

Уязвимости подвержены, по последним данным, как минимум следующие ОС: OpenBSD 4.7, NetBSD 5.0.2, FreeBSD 7.3/8.1, Oracle/Sun Solaris 10, а также все версии Linux с GLIBC. Уязвимость пока что устранена только в NetBSD; компании и сообщества, занимающиеся разработкой вышеперечисленных (за исключением NetBSD) операционных систем, пока не дают никакой информации; именно поэтому уязвимость классифицируется как «0-day». Сообщается также, что vsftpd не подвержен уязвимости.

>>> Подробности

Рано или поздно, но, думаю, каждый системный администратор сталкивается с необходимостью синхронизации содержимого каталогов, расположенных на разных удалённых системах. Хорошо, если есть возможность использовать rsync или хотя бы возможность смонтировать удалённый ресурс средствами NFS или Samba. Но что делать, если в вашем распоряжении не имеется больше ничего, кроме старого доброго FTP? Выход, конечно же есть, и по традиции мира Open Source, их немало. Перебрав несколько я остановился на утилите FTPSync. Она написана на Perl и теоретически должна работать в любой системе, имеющей в своём распоряжении Perl-интерпретатор. Я же расскажу об опыте установки и использования FTPSync в своей Ubuntu 10.04 Server.

>>> Читать дальше

Вчера вышла новая версия популярного и гибко настраиваемого FTP-демона - ProFTPD 1.3.3. Основные изменения относительно 1.3.2:

• Добавлены переводы на французский, болгарский, корейский и тайваньский языки.
• Добавлена опция командной строки -S (--serveraddr), позволяющая указать IP-адрес машины. По умолчанию, proftpd пытается определить IP-адрес по имени хоста, но это не всегда возможно (например если на машине не настроен DNS).
• Новый модуль mod_exec, позволяющий запускать внешние скрипты, когда происходят какие-либо события.
• Новый модуль mod_sftp, реализующий протоколы SSH2, SFTP и SCP. В дополнение к этому модулю добавлены также модули mod_sftp_pam и mod_sftp_sql для поддержки соответствующих методов аутентификации пользователей.
• Новый модуль mod_shaper, позволяющий ограничивать скорость передачи данных для всего сервера.
• Новый модуль mod_sql_passwd, позволяющий хранить MD5- и SHA1-хеши паролей в базе данных.
• Также были исправлены разные ошибки, добавлены новые директивы конфигурации и сделаны другие изменения. Подробности смотрите в файлах Release Notes и News.

>>> Подробности

На днях в рассылке разработчиков netfilter/iptables появилось сообщение, рассказывающее об угрозах, создаваемых корректной обработкой активного режима FTP на примере Linux-фаервола netfilter (nf_conntrack_ftp и nf_nat_ftp).

Активный режим FTP работает следующим образом: сначала FTP-клиент инициирует TCP-соединение на FTP-сервер (обычно на порт 21) и регистрируется на нем (выполняет команды USER и PASS). При возникновении необходимости передать какие-либо данные, не являющиеся командами, клиент открывает один из своих портов на прослушивание и передает номер этого порта серверу в команде PORT, после чего сервер открывает на этот порт второе соединение (соединение данных, в отличие от первого — управляющего) и передает необходимые данные (например, файл или листинг каталога).

Так как номер клиентского порта для прослушивания обычно выбирается случайно, корректная обработка таких сеансов межсетевыми экранами и NAT представляет определенные трудности, которые разработчики фаерволов пытаются решить.

Например, в фаерволе netfilter, встроенном в ядро Linux, данная проблема решается путем использования специальных модулей ядра (так называемых conntrack helpers и NAT helpers), которые сканируют трафик, по специальным шаблонам выделяют передаваемые номера портов и обеспечивают их своевременное открытие, а также корректный проброс соединений через NAT.

В системе OpenBSD эта задача решается во многом аналогичным образом, однако вместо модулей ядра используется userspace-демон ftp-proxy, который добавляет соответствующие правила к нужным якорям (anchors) фаервола pf.

Важно отметить, что в любом случае корректная обработка активного режима FTP-связана с открытием на доступ извне порта на клиентском хосте.

Угроза, создаваемая подобными техническими средствами, обусловлена невозможностью отличить, инициируется ли соединение обычным FTP-клиентом на обычный FTP-сервер, или такое поведение имитируется злонамеренным ПО (malware). Например, используя технологии XMLHTTPRequest, Adobe Flash или Java-апплеты, злоумышленник может подготовить специальную web-страницу, при открытии которой на клиентском хосте может быть использована данная узвимость. Злонамеренный код, исполняемый на клиентском хосте, имитирует работу обычного FTP-клиента в активном режиме, отправляя на сервер злоумышленника команду PORT. В том случае, если межсетевой экран настроен на корректную обработку активного режима FTP, это приведет к открытию заданного клиенского порта для доступа с сервера злоумышленника.

Автор сообщения приводит также ссылку на git-репозитарий с комплектом ПО, разработанного специально для демонстрации этой уязвимости (проще говоря, эксплойтом).

Заметим, что к данной угрозе чувствительны не только персональные (работающие на клиентском хосте) фаерволы, но и традиционные межсетевые экраны, работающие на шлюзах и NAT. В последнем случае фаервол не только разрешит доступ к порту клиента в локальной сети, но и обеспечит проброс на этот порт соединения извне.

Ну и наконец, стоит заметить, что причины возникновения обсуждаемой проблемы лежат не в каких-либо ошибках при разработке фаерволов, а в изначальной некорректности (defective by design) принципов работы некоторых протоколов прикладного уровня, в частности, активного режима FTP.

>>> Подробности

В данной версии расширена поддержка SSL и устранены проблемы его совместимости с FileZilla. Решена проблема разрыва PASV-соединений при экстремальных нагрузках на сервер. Добавлена опция удаления недокачанных из-за разрыва соединения файлов.

Скачать: ftp://vsftpd.beasts.org/users/cevans/

>>> Подробности