The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от opennews (ok) on 01-Мрт-11, 21:21 
Выпущен (http://vsftpd.beasts.org/) корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость (http://securityreason.com/securityalert/8109), которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.


Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые и...

URL: http://vsftpd.beasts.org/
Новость: http://www.opennet.ru/opennews/art.shtml?num=29757

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от DmitryINdig0 (ok) on 01-Мрт-11, 21:21 
Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв. =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  –2 +/
Сообщение от Аноним (??) on 01-Мрт-11, 21:28 
>если не настроен лимит на число соединений с одного IP

Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать
на публичном сервере .... мда ...

P.S. pure-ftpd наше все ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 01-Мрт-11, 21:52 
Adobe юзает vsftpd? o_O Во лицемеры, блин!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +1 +/
Сообщение от User294 (ok) on 01-Мрт-11, 21:58 
Хехе, добрые чуваки. И список потенциальных жертв дали :). Этак скоро начнут встраивать JS по типу LOIC прямо в новость: "click here to pwn 'em".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от анон on 01-Мрт-11, 22:14 
>Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать на публичном сервере .... мда ...

При достаточном уровне вложенности можно практически любой сервер одним коннектом уложить, так что без разницы.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +1 +/
Сообщение от анон on 01-Мрт-11, 22:16 
>надежного, защищенного ... FTP-сервера
>уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки

Где-то здесь было деление на ноль.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от анон on 01-Мрт-11, 22:19 
>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.

Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  –1 +/
Сообщение от DmitryINdig0 (ok) on 01-Мрт-11, 22:25 
>>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
> Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

...я в отношении списка серверов и версий куда ломиться кулхацкерам

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 01-Мрт-11, 23:03 
Да, странно в vsftp такое наблюдать. Что-то, а glob - одно из первых мест где проблемы случаются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +1 +/
Сообщение от Аноним (??) on 01-Мрт-11, 23:16 
> При достаточном уровне вложенности можно практически любой сервер одним
> коннектом уложить, так что без разницы.

А по подробнее можно ?

P.S. В pure-ftpd по умолчнию стоит -
- '-L <max files>:<max depth>': To avoid stupid denial-of-service attacks
(or just CPU hogs), Pure-FTPd never displays more than 10000 files in response
to an 'ls' command. Also, a recursive 'ls' (-R) never goes further than 5
subdirectories. You can increase/decrease those limits with the '-L' option.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +1 +/
Сообщение от Кракен (ok) on 01-Мрт-11, 23:28 
Очень безопасный демон ftp оказался немного опасным. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 01-Мрт-11, 23:55 
Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd, что дальше?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  –2 +/
Сообщение от Аноним (??) on 01-Мрт-11, 23:59 
> Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd,
> что дальше?

Ты что из крио-камеры что ли ?

Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
Просто некоторым не нравится его БЗД лицензия ;)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от анон on 02-Мрт-11, 00:09 
>Всю жизнь пуре был более защищеный и более фичастый и более легкий ...

Ага. Помнится, ещё в 2003 году гуляли по нишм лесам remote root сплойты для него.
А сейчас он уже практически дохлый (год как не шевелится).

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +1 +/
Сообщение от Аноним (??) on 02-Мрт-11, 00:32 
> Всю жизнь пуре был более защищеный и более фичастый и более легкий

После появления 0-day remote ROOT exploit (http://www.governmentsecurity.org/forum/index.php?showtopic=...) и последующих попыток автора pure-ftpd всячески скрыть информацию об этой дыре на pure-ftpd все поставили жирный крест, так как сапер ошибается только один раз. В vsftpd серьезных дыр за всю историю его существования еще не было.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 02-Мрт-11, 05:40 
Pure менее фичастый чем proftpd, но не менее дырявый. Аналогов vsftpd пока нет.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от anonymous (??) on 02-Мрт-11, 08:28 
> 0-day remote ROOT exploit

И что ? Сейчас есть ?
А ремоте в всфтпд тоже были тот же 205 к примеру ... Так что не нужно ляля.

> так как сапер ошибается только один раз.

Ну ну жди когды следующий раз будешь убит :)

Дело не в том были ли дыра. А как часто их тама находят и насколько быстро патчут.

Как анонимус онли - всфтпд может и тянет. Но у него слишком безобразная работа
с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
токо с такого ип, с такой то скоростью и с 8-00 до 17-00 и тд :(

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Frank email(ok) on 02-Мрт-11, 08:32 
Мсье забыл про существование кучи юзеров за NATами?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 02-Мрт-11, 10:01 
>> 0-day remote ROOT exploit
> И что ? Сейчас есть ?
> А ремоте в всфтпд тоже были тот же 205 к примеру ...

remote DoS в vsftpd, требующих дополнительных правок конфига и определенных системных настроек и remote запуск кода с правами ROOT из коробки в pure-ftpd вещи немного разного уровня, не правда ли ? В vsftpd уязвимостей приводящих к local или remote запуску кода отродясь небыло. Более того в vsftpd очень хитрая политика сброса привилегий и использования chroot, так что если и найдут там когда-либо дыру, в чем я сильно сомневаюсь, то эксплуатировать ее будет крайне сложно.

> Дело не в том были ли дыра. А как часто их тама
> находят и насколько быстро патчут.

Дело в качестве кода и отношении к безопасности авторов к проекту. Одной дыры, приводящей к возможности написания эксплоита для удаленного запуска кода, более чем достаточно, чтобы навсегда занести проект в черный список.

> с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
> токо с такого ип, с такой то скоростью и с 8-00 до
> 17-00 и тд :(

С гибкостью у vsftpd действительно слабовато.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от moralez on 02-Мрт-11, 10:19 
Неизвестно с какой версии проблема началась. Даже в последнем релизе убунты ещё 2.3-pre. В более старых возможно и не работает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от metallic email(ok) on 02-Мрт-11, 11:27 
Троль, в каком месте pure менее фичястый?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от anonymous (??) on 02-Мрт-11, 11:30 
> remote DoS в vsftpd, требующих дополнительных правок конфига и определенных
> системных настроек

Каких еще конфигов и настроек ? Кстати решил поглядеть чанж лог на vsftpd и офигел
( я про описание что сделано в 2.3.3 и 2.3.4 ) круто слов просто нет.
Можешь дальше верить во все бредни ;)

( кстати - http://www.governmentsecurity.org/forum/index.php?showtopic=... у меня не открывается пишет какая то ошибка бд и лучше на будущее не давать ссылки с каких то левых
форумов )

> Дело в качестве кода и отношении к безопасности авторов к проекту.

Во правильно. Погляди vsftpd в сырцы и поймешь сразу тогда ;)

> С гибкостью у vsftpd действительно слабовато.

Гибксости конечно до фига, она сделана через ж.
И присем автор додумался запихать в парсер конфига в сам демон... мдаааа слов нету просто :)

Кстати сравнивали тут по жручести рама и загрузке проца vsftpd в полной ж... ( отностильно
pure ) ( сранивали при ~ 200 конектах )

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Вышел vsftpd 2.3.4 с устранением DoS-уязвимости"  +/
Сообщение от User294 (ok) on 03-Мрт-11, 01:21 
> Троль,
> фичястый?

Кошмар! Куда катится этот мир? oO

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру