The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел vsftpd 2.3.4 с устранением DoS-уязвимости

01.03.2011 20:59

Выпущен корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.

Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые используют устаревшие версии vsftpd отмечаются: ftp.gnu.org (2.0.6), ftp.kernel.org (2.2.2), ftpgen.wip4.adobe.com (2.3.2), ftp.oracle.com (2.0.5), ftp.freebsd.org (2.2.0).

  1. Главная ссылка к новости (http://vsftpd.beasts.org/...)
  2. OpenNews: Выпущен релиз FTP сервера vsftpd 2.3.0
  3. OpenNews: На базе vsftpd создан легковесный HTTP-сервер
  4. OpenNews: Выпущен релиз FTP сервера vsftpd 2.2.0
  5. OpenNews: Обновление FTP сервера vsftpd - 2.1.0
  6. OpenNews: Вышел vsftpd 2.0.0, обзор изменений.
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vsftpd, ftp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, DmitryINdig0 (ok), 21:21, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв. =)
     
     
  • 2.7, анон (?), 22:19, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.

    Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

     
     
  • 3.9, DmitryINdig0 (ok), 22:25, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
    > Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.

    ...я в отношении списка серверов и версий куда ломиться кулхацкерам

     

  • 1.2, Аноним (-), 21:28, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >если не настроен лимит на число соединений с одного IP

    Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать
    на публичном сервере .... мда ...

    P.S. pure-ftpd наше все ;)

     
     
  • 2.5, анон (?), 22:14, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать на публичном сервере .... мда ...

    При достаточном уровне вложенности можно практически любой сервер одним коннектом уложить, так что без разницы.

     
     
  • 3.11, Аноним (-), 23:16, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При достаточном уровне вложенности можно практически любой сервер одним
    > коннектом уложить, так что без разницы.

    А по подробнее можно ?

    P.S. В pure-ftpd по умолчнию стоит -
    - '-L <max files>:<max depth>': To avoid stupid denial-of-service attacks
    (or just CPU hogs), Pure-FTPd never displays more than 10000 files in response
    to an 'ls' command. Also, a recursive 'ls' (-R) never goes further than 5
    subdirectories. You can increase/decrease those limits with the '-L' option.

     
  • 2.13, Аноним (-), 23:55, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd, что дальше?
     
     
  • 3.14, Аноним (-), 23:59, 01/03/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd,
    > что дальше?

    Ты что из крио-камеры что ли ?

    Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
    Просто некоторым не нравится его БЗД лицензия ;)

     
     
  • 4.15, анон (?), 00:09, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Всю жизнь пуре был более защищеный и более фичастый и более легкий ...

    Ага. Помнится, ещё в 2003 году гуляли по нишм лесам remote root сплойты для него.
    А сейчас он уже практически дохлый (год как не шевелится).

     
  • 4.16, Аноним (-), 00:32, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всю жизнь пуре был более защищеный и более фичастый и более легкий

    После появления 0-day remote ROOT exploit (http://www.governmentsecurity.org/forum/index.php?showtopic=10150) и последующих попыток автора pure-ftpd всячески скрыть информацию об этой дыре на pure-ftpd все поставили жирный крест, так как сапер ошибается только один раз. В vsftpd серьезных дыр за всю историю его существования еще не было.


     
     
  • 5.18, anonymous (??), 08:28, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 0-day remote ROOT exploit

    И что ? Сейчас есть ?
    А ремоте в всфтпд тоже были тот же 205 к примеру ... Так что не нужно ляля.

    > так как сапер ошибается только один раз.

    Ну ну жди когды следующий раз будешь убит :)

    Дело не в том были ли дыра. А как часто их тама находят и насколько быстро патчут.

    Как анонимус онли - всфтпд может и тянет. Но у него слишком безобразная работа
    с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
    токо с такого ип, с такой то скоростью и с 8-00 до 17-00 и тд :(

     
     
  • 6.20, Аноним (-), 10:01, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> 0-day remote ROOT exploit
    > И что ? Сейчас есть ?
    > А ремоте в всфтпд тоже были тот же 205 к примеру ...

    remote DoS в vsftpd, требующих дополнительных правок конфига и определенных системных настроек и remote запуск кода с правами ROOT из коробки в pure-ftpd вещи немного разного уровня, не правда ли ? В vsftpd уязвимостей приводящих к local или remote запуску кода отродясь небыло. Более того в vsftpd очень хитрая политика сброса привилегий и использования chroot, так что если и найдут там когда-либо дыру, в чем я сильно сомневаюсь, то эксплуатировать ее будет крайне сложно.

    > Дело не в том были ли дыра. А как часто их тама
    > находят и насколько быстро патчут.

    Дело в качестве кода и отношении к безопасности авторов к проекту. Одной дыры, приводящей к возможности написания эксплоита для удаленного запуска кода, более чем достаточно, чтобы навсегда занести проект в черный список.

    > с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
    > токо с такого ип, с такой то скоростью и с 8-00 до
    > 17-00 и тд :(

    С гибкостью у vsftpd действительно слабовато.

     
     
  • 7.23, anonymous (??), 11:30, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > remote DoS в vsftpd, требующих дополнительных правок конфига и определенных
    > системных настроек

    Каких еще конфигов и настроек ? Кстати решил поглядеть чанж лог на vsftpd и офигел
    ( я про описание что сделано в 2.3.3 и 2.3.4 ) круто слов просто нет.
    Можешь дальше верить во все бредни ;)

    ( кстати - http://www.governmentsecurity.org/forum/index.php?showtopic=10150 у меня не открывается пишет какая то ошибка бд и лучше на будущее не давать ссылки с каких то левых
    форумов )

    > Дело в качестве кода и отношении к безопасности авторов к проекту.

    Во правильно. Погляди vsftpd в сырцы и поймешь сразу тогда ;)

    > С гибкостью у vsftpd действительно слабовато.

    Гибксости конечно до фига, она сделана через ж.
    И присем автор додумался запихать в парсер конфига в сам демон... мдаааа слов нету просто :)

    Кстати сравнивали тут по жручести рама и загрузке проца vsftpd в полной ж... ( отностильно
    pure ) ( сранивали при ~ 200 конектах )

     
  • 4.17, Аноним (-), 05:40, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Pure менее фичастый чем proftpd, но не менее дырявый. Аналогов vsftpd пока нет.
     
     
  • 5.22, metallic (ok), 11:27, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Троль, в каком месте pure менее фичястый?
     
     
  • 6.25, User294 (ok), 01:21, 03/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Троль,
    > фичястый?

    Кошмар! Куда катится этот мир? oO

     
  • 2.19, Frank (ok), 08:32, 02/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье забыл про существование кучи юзеров за NATами?
     

  • 1.3, Аноним (-), 21:52, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Adobe юзает vsftpd? o_O Во лицемеры, блин!
     
  • 1.4, User294 (ok), 21:58, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хехе, добрые чуваки. И список потенциальных жертв дали :). Этак скоро начнут встраивать JS по типу LOIC прямо в новость: "click here to pwn 'em".
     
  • 1.6, анон (?), 22:16, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >надежного, защищенного ... FTP-сервера
    >уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки

    Где-то здесь было деление на ноль.

     
  • 1.10, Аноним (-), 23:03, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, странно в vsftp такое наблюдать. Что-то, а glob - одно из первых мест где проблемы случаются.
     
  • 1.12, Кракен (ok), 23:28, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очень безопасный демон ftp оказался немного опасным. :)
     
  • 1.21, moralez (?), 10:19, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неизвестно с какой версии проблема началась. Даже в последнем релизе убунты ещё 2.3-pre. В более старых возможно и не работает.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру