forum.opennet.ru - "OpenNews: Новые проблемы с безопасностью в OpenSSH и ProFTPD" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от opennews on 24-Сен-03, 20:24
Две серьезные ошибки, способные привести к запуску кода злоумышленника, обнаружены в OpenSSH 3.7p1/3.7.1p1 (проблема в новом PAM коде) и ProFTPD <= 1.2.9rc2 (трансляция ASCII файлов, для использования уязвимости на ftp сервере должна быть открыта возможность закачки файлов). URL: http://xforce.iss.net/xforce/alerts/id/144 Новость: https://www.opennet.ru/opennews/art.shtml?num=2900
Cообщить модератору \| Наверх \| ^

Оглавление

Новые проблемы с безопасностью в OpenSSH и ProFTPD, 2vl, 20:24 , 24-Сен-03, (1)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, tx, 21:25 , 24-Сен-03, (2)

Новые проблемы с безопасностью в OpenSSH и ProFTPD, Nickolay, 10:08 , 25-Сен-03, (5)

Новые проблемы с безопасностью в OpenSSH и ProFTPD, si, 21:37 , 24-Сен-03, (3)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, Аноним, 05:18 , 25-Сен-03, (4)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, 2vl, 11:48 , 25-Сен-03, (6)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, si, 12:00 , 25-Сен-03, (7)

Новые проблемы с безопасностью в OpenSSH и ProFTPD, 2vl, 13:07 , 25-Сен-03, (8)

Новые проблемы с безопасностью в OpenSSH и ProFTPD, Аноним, 15:05 , 25-Сен-03, (9)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, Аноним, 10:13 , 26-Сен-03, (10)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, 2vl, 13:37 , 01-Окт-03, (11)
Новые проблемы с безопасностью в OpenSSH и ProFTPD, TaranTuL, 15:42 , 22-Окт-03, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от 2vl on 24-Сен-03, 20:24

А Делать то что !!!!!
Successful exploitation is not possible if attackers cannot upload files to a vulnerable FTP server. Where possible it is advisable to disable the ability for users to perform FTP uploads, either with file permissions or using ProFTPD configuration parameters:
>Limit WRITE<
DenyAll
>/Limit<
Это что издевка ? А как звери аплоадить свое Г.. будут ?

Cообщить модератору | Наверх | ^

2. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от tx on 24-Сен-03, 21:25

эти проблемы решают на vsftpd.beasts.org

Cообщить модератору | Наверх | ^

5. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от Nickolay on 25-Сен-03, 10:08

придет время и там дыр понаходят столько, что мама не горюй.
на надо лениться обновляться

Cообщить модератору | Наверх | ^

3. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от si on 24-Сен-03, 21:37

или на www.pureftpd.org

Cообщить модератору | Наверх | ^

4. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от Аноним on 25-Сен-03, 05:18

Мда уж, богатый нынче урожай август-сентябрь:
20030924: p9 FreeBSD-SA-03:15.openssh
Fix PAM-related bugs in OpenSSH's challenge/response code.
20030923: p8 FreeBSD-SA-03:14.arp
Fix a bug in arplookup(), whereby a hostile party on a locally
attached network could exhaust kernel memory, and cause a system
panic, by sending a flood of spoofed ARP requests.
20030917: p7 FreeBSD-SA-03:13.sendmail
Fix another address parsing buffer overflow.
20030916: p6 FreeBSD-SA-03:12.openssh
Follow-up fixes for OpenSSH oversized packet buffer handling.
20030916: p5 FreeBSD-SA-03:12.openssh
OpenSSH oversized packet buffer handling corrected.
20030825: p4 FreeBSD-SA-03:11.sendmail
Sendmail DNS map problem corrected.
20030810: p3 FreeBSD-SA-03:10.iBCS2
iBCS2 system call translator for statfs leaked information.
20030810: p2 FreeBSD-SA-03:09.signal
Repair range-checking errors in signal handling.
20030804: p1 FreeBSD-SA-03:08.realpath
Correct a single byte buffer overflow in realpath(3).

Cообщить модератору | Наверх | ^

6. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от 2vl on 25-Сен-03, 11:48

Да дебатов развели а ответа нет. Eсли уже установлен/нет возможности поменять / желания /вероисповедания и религия не позволяют отказаться от ProFTPD то как решить проблему ?
Нельзя же тупо закрыть запись и радоваться !

Cообщить модератору | Наверх | ^

7. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от si on 25-Сен-03, 12:00

Несколько предложений для 2vl:
1.Открыть исходники proftpd и по править самому и не разводить дебатов
2. Ждать пока разработчики не по правят сами.
3. Поставить другой ftpd
4. Забить на все и ждать пока тебя сломают

Cообщить модератору | Наверх | ^

8. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от 2vl on 25-Сен-03, 13:07

согласен по первому пункту :)Вопрос в том что вреда может быть нанесено больше чем исправлений.
"Забить на все и ждать пока тебя сломают"
ну ...пока не будtт public exploit... а там глядишь и "разработчики по правят сами"

Cообщить модератору | Наверх | ^

9. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от Аноним on 25-Сен-03, 15:05

RSBAC, SELinux(LSM), Trusted BSD.
И пусть ломают себе скоко угодно.

Cообщить модератору | Наверх | ^

10. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от Аноним on 26-Сен-03, 10:13

много встречал пустых слов о другом ftp-демоне...
есть ли альтернатива для профипд?
что бы была такая же мощная и приятная в конфигурировании?

Cообщить модератору | Наверх | ^

11. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от 2vl on 01-Окт-03, 13:37

странно поставил себе proftpd 1.2.8
и не могу закрыть порт т.е.
Bind 192.168.0.1 результата не дает !
видно везде на всех картах/интерфейсах --это что , тож ДЫРА ? !!!

Cообщить модератору | Наверх | ^

12. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"

Сообщение от TaranTuL on 22-Окт-03, 15:42

Не путать Listen и Bind!

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от 2vl on 24-Сен-03, 20:24
А Делать то что !!!!! Successful exploitation is not possible if attackers cannot upload files to a vulnerable FTP server. Where possible it is advisable to disable the ability for users to perform FTP uploads, either with file permissions or using ProFTPD configuration parameters: >Limit WRITE< DenyAll >/Limit< Это что издевка ? А как звери аплоадить свое Г.. будут ?
Cообщить модератору \| Наверх \| ^

2. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от tx on 24-Сен-03, 21:25
эти проблемы решают на vsftpd.beasts.org
Cообщить модератору \| Наверх \| ^


	5. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
	Сообщение от Nickolay on 25-Сен-03, 10:08
	придет время и там дыр понаходят столько, что мама не горюй. на надо лениться обновляться
	Cообщить модератору \| Наверх \| ^

3. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от si on 24-Сен-03, 21:37
или на www.pureftpd.org
Cообщить модератору \| Наверх \| ^

4. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от Аноним on 25-Сен-03, 05:18
Мда уж, богатый нынче урожай август-сентябрь: 20030924: p9 FreeBSD-SA-03:15.openssh Fix PAM-related bugs in OpenSSH's challenge/response code. 20030923: p8 FreeBSD-SA-03:14.arp Fix a bug in arplookup(), whereby a hostile party on a locally attached network could exhaust kernel memory, and cause a system panic, by sending a flood of spoofed ARP requests. 20030917: p7 FreeBSD-SA-03:13.sendmail Fix another address parsing buffer overflow. 20030916: p6 FreeBSD-SA-03:12.openssh Follow-up fixes for OpenSSH oversized packet buffer handling. 20030916: p5 FreeBSD-SA-03:12.openssh OpenSSH oversized packet buffer handling corrected. 20030825: p4 FreeBSD-SA-03:11.sendmail Sendmail DNS map problem corrected. 20030810: p3 FreeBSD-SA-03:10.iBCS2 iBCS2 system call translator for statfs leaked information. 20030810: p2 FreeBSD-SA-03:09.signal Repair range-checking errors in signal handling. 20030804: p1 FreeBSD-SA-03:08.realpath Correct a single byte buffer overflow in realpath(3).
Cообщить модератору \| Наверх \| ^

6. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от 2vl on 25-Сен-03, 11:48
Да дебатов развели а ответа нет. Eсли уже установлен/нет возможности поменять / желания /вероисповедания и религия не позволяют отказаться от ProFTPD то как решить проблему ? Нельзя же тупо закрыть запись и радоваться !
Cообщить модератору \| Наверх \| ^

7. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от si on 25-Сен-03, 12:00
Несколько предложений для 2vl: 1.Открыть исходники proftpd и по править самому и не разводить дебатов 2. Ждать пока разработчики не по правят сами. 3. Поставить другой ftpd 4. Забить на все и ждать пока тебя сломают
Cообщить модератору \| Наверх \| ^


	8. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
	Сообщение от 2vl on 25-Сен-03, 13:07
	согласен по первому пункту :)Вопрос в том что вреда может быть нанесено больше чем исправлений. "Забить на все и ждать пока тебя сломают" ну ...пока не будtт public exploit... а там глядишь и "разработчики по правят сами"
	Cообщить модератору \| Наверх \| ^

9. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от Аноним on 25-Сен-03, 15:05
RSBAC, SELinux(LSM), Trusted BSD. И пусть ломают себе скоко угодно.
Cообщить модератору \| Наверх \| ^

10. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от Аноним on 26-Сен-03, 10:13
много встречал пустых слов о другом ftp-демоне... есть ли альтернатива для профипд? что бы была такая же мощная и приятная в конфигурировании?
Cообщить модератору \| Наверх \| ^

11. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от 2vl on 01-Окт-03, 13:37
странно поставил себе proftpd 1.2.8 и не могу закрыть порт т.е. Bind 192.168.0.1 результата не дает ! видно везде на всех картах/интерфейсах --это что , тож ДЫРА ? !!!
Cообщить модератору \| Наверх \| ^

12. "Новые проблемы с безопасностью в OpenSSH и ProFTPD"
Сообщение от TaranTuL on 22-Окт-03, 15:42
Не путать Listen и Bind!
Cообщить модератору \| Наверх \| ^