The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Доступен релиз ProFTPD 1.3.2 с устранением уязвимости

07.02.2009 13:01

Спустя 16 месяцев с момента выхода прошлой версии вышел релиз ProFTPD 1.3.2 в котором исправлено 120 ошибок, среди которых устранена серьезная уязвимость в модулях mod_sql_mysql и mod_sql_postgres, используя которую злоумышленник может осуществить подстановку SQL кода (SQL injection) в системах, поддерживающих многобайтовые кодировки со включенной в конфигурации поддержкой NLS (сборка с --enable-nls). Проблеме не подвержены системы с переменной окружения "LANG" выставленной в 8-битную кодировку.

Некоторые наиболее интересные изменения:

  • По умолчанию активирована поддержка IPv6, для отключения в proftpd.conf нужно указать "UseIPv6 off";
  • Добавлен перевод сообщений на русский язык;
  • Устранены проблемы с установкой кодировки на платформе FreeBSD;
  • По умолчанию значение настройки TimeoutLinger уменьшено с 180 до 30 секунд, так как у большинства клиентов значение время ожидания ответа сервера равняется 60 сек. и чтобы не натолкнуться на таймаут клиента TimeoutLinger не должен превышать 60 сек.;
  • Исправлено несколько проблем, связанные с обрывом соединения;
  • Устранена утечка файловых дескрипторов при ведении лога через syslog;
  • Добавлена утилита prxs для быстрой сборки и установки сторонних модулей без наличия исходных текстов proftpd;
  • Опция "-vv" теперь в дополнение к списку статически вкомпилированных модулей, отображает и динамически собранные модули. Только статические модули можно просмотреть при помощи опции "-l";
  • Новые директивы конфигурации:
    • AuthPAMOptions - установка дополнительных опций для PAM модулей;
    • MaxTransferPerHost, MaxTransfersPerUser - задание ограничение на максимальное число одновременных передач данных для заданного хоста или пользователя.
    • TLSVerifyOrder - директива для настройки порядка проверки сертификата в коде поддержки протокола OCSP (Online Certificate Status Protocol) в mod_tls;
    • TransferPriority - позволяет изменить приоритет выполнения процесса;
    • UseEncoding - в модуле mod_lang добавлена возможность использования кодировки отличной от UTF8 для управляющих соединений;
  • Прекращена поддержка директив AnonymousGroup и UseUTF8;
  • Новые модули и скрипты в архиве дополнительных компонент (contrib):
    • Модуль mod_unique_id для генерации в переменной окружения UNIQUE_ID уникального идентификатора для каждой FTP сессий. Для генерации идентификатора используется IP хоста и клиента, pid-процесса и текущее время;
    • Модуль mod_sql_odbc для соединения с СУБД через ODBC драйверы;
    • Модуль mod_dynmasq для автоматического определения и назначения IP через сервисы динамической привязки имен.
    • mod_sql_sqlite - модуль для хранения аккаутов в SQLite базе;
    • Скрипт ftpmail отправляющий по почте уведомления о завершении загрузки;
  • Новые модули из базовой поставки:
    • Модуль mod_facts с реализацией команд MLSD и MLST, определенных в RFC3659. Поддержка модуля активируется по умолчанию;
    • Поддержка протокола идентификации описанного в RFC1413 вынесена из основного кода и реализована в виде модуля mod_ident.


  1. Главная ссылка к новости (http://www.proftpd.org/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/20151-ftp
Ключевые слова: ftp, proftpd
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 05:38, 08/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец то поправили проблему буквы Я
     
     
  • 2.2, Anonymous (?), 11:48, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Наконец то поправили проблему буквы Я

    Устранены проблемы с установкой кодировки на платформе FreeBSD - ты про это чтоли?

     
     
  • 3.4, Аноним (1), 04:52, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вот про это
    http://www.google.ru/search?hl=ru&q=proftpd+%D0%B1%D1%83&
     
     
  • 4.6, Keeper (??), 08:56, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >вот про это
    >http://www.google.ru/search?hl=ru&q=proftpd+%D0%B1%D1%83&

    Это не баг, это такая фича. Цитирую:

    " Все значения октетов прикладных данных кроме \377 (десятичное 255) передаются по транспорту как есть. Октет \377 передаётся последовательностью \377\377 из двух октетов. Это связано с тем, что октет \377 используется на транспортном уровне для кодирования опций. [...] Протокол telnet используется в управляющем соединении FTP, [...] "

    См. http://ru.wikipedia.org/wiki/Telnet

    P.S. Соответствующие RFC господа пуристы могут нарыть самостоятельно.

     
     
  • 5.9, Andrew (??), 12:57, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Те во всех FTP серверах которые следуют букве RFC НЕРЕАЛЬНО оперировать буквой Я в именах файлов?
     
     
  • 6.10, Keeper (??), 22:30, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Те во всех FTP серверах которые следуют букве RFC НЕРЕАЛЬНО оперировать буквой
    >Я в именах файлов?

    Вполне реально, в том числе для FTP-серверов с неотключенной обработкой IAC.
    Но используемые FTP-клиенты должны знать об этой "фиче" и поддерживать её.

    Например, для виндового FAR Manager'а есть настройки "Дублировать FF в командах" и "Убирать двойные FF из PWD", находятся в Параметры - Параметры внешних модулей - FTP-клиент - Расширенные параметры.

     
  • 2.7, chuvy (??), 11:23, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Наконец то поправили проблему буквы Я

    Ура!

    - Bug 3064 - Better handling of 0xFF character for Cyrillic, non-UTF8 charsets.
      These character sets use the same value as the Telnet IAC character in
      the alphabet.  RFC959 states that FTP control messages must support Telnet
      characters; this requirement causes problems for the character sets.
      This the RFC959 requirement is relaxed if --enable-nls is used, and if
      one of the problematic character sets is configured.

     

  • 1.3, Осторожный (ok), 16:49, 08/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я уже собрался ждать когда в портах в FreeBSD появится, а тут:
    Релиз был 5-го числа
    А 6-го числа добавили в FreeBSD: http://www.freshports.org/ftp/proftpd/
     
  • 1.5, ra9ftm (?), 08:48, 09/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хачу пакет для Дебиана!!
     
  • 1.8, Аноним (1), 11:50, 09/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скажите у кого-нибудь еще есть проблема с этой весией proftpd с --enable-nls и хранением юзеров в Postgres?
    Если в конфиге включить UseEncoding koi8-r cp1251 то proftpd пишет в лог ошибку:
    unrecoverable backend error:
    (mod_sql_postgres/4.0.4) ERROR:  invalid value for parameter "client_encoding":
    "cp1251"
     
  • 1.11, Аноним (1), 08:36, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем использовать перекодировку?
     
     
  • 2.12, gibbon (ok), 12:07, 10/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А зачем использовать перекодировку?

    На сервере локаль koi8-r а cp1251 отдаю для виндовых клиентов

     

  • 1.13, pilmenb (?), 08:02, 16/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    аоы и мне для debian а в sid ветке он имееться ? ^_^
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру