25 Ноября 2024, 11:10

ProFTPd

Автор ping_Win, 07 Февраля 2009, 20:12

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

ping_Win

07 Февраля 2009, 20:12 Последнее редактирование: 02 Апреля 2011, 14:10 от Zhek@Ch
[size="3"]Доступен релиз ProFTPD 1.3.2 с устранением уязвимости[/size]

Спустя 16 месяцев с момента выхода прошлой версии вышел релиз ProFTPD 1.3.2 в котором исправлено 120 ошибок, среди которых устранена серьезная уязвимость в модулях mod_sql_mysql и mod_sql_postgres, используя которую злоумышленник может осуществить подстановку SQL кода (SQL injection) в системах, поддерживающих многобайтовые кодировки со включенной в конфигурации поддержкой NLS (сборка с --enable-nls). Проблеме не подвержены системы с переменной окружения "LANG" выставленной в 8-битную кодировку.

Некоторые наиболее интересные изменения:

 * По умолчанию активирована поддержка IPv6, для отключения в proftpd.conf нужно указать "UseIPv6 off";
 * Добавлен перевод сообщений на русский язык;
 * Устранены проблемы с установкой кодировки на платформе FreeBSD;
 * По умолчанию значение настройки TimeoutLinger уменьшено с 180 до 30 секунд, так как у большинства клиентов значение время ожидания ответа сервера равняется 60 сек. и чтобы не натолкнуться на таймаут клиента TimeoutLinger не должен превышать 60 сек.;
 * Исправлено несколько проблем, связанные с обрывом соединения;
 * Устранена утечка файловых дескрипторов при ведении лога через syslog;
 * Добавлена утилита prxs для быстрой сборки и установки сторонних модулей без наличия исходных текстов proftpd;
 * Опция "-vv" теперь в дополнение к списку статически вкомпилированных модулей, отображает и динамически собранные модули. Только статические модули можно просмотреть при помощи опции "-l";
 * Новые директивы конфигурации:
 o AuthPAMOptions - установка дополнительных опций для PAM модулей;
 o MaxTransferPerHost, MaxTransfersPerUser - задание ограничение на максимальное число одновременных передач данных для заданного хоста или пользователя.
 o TLSVerifyOrder - директива для настройки порядка проверки сертификата в коде поддержки протокола OCSP (Online Certificate Status Protocol) в mod_tls;
 o TransferPriority - позволяет изменить приоритет выполнения процесса;
 o UseEncoding - в модуле mod_lang добавлена возможность использования кодировки отличной от UTF8 для управляющих соединений;
 * Прекращена поддержка директив AnonymousGroup и UseUTF8;
 * Новые модули и скрипты в архиве дополнительных компонент (contrib):
 o Модуль mod_unique_id для генерации в переменной окружения UNIQUE_ID уникального идентификатора для каждой FTP сессий. Для генерации идентификатора используется IP хоста и клиента, pid-процесса и текущее время;
 o Модуль mod_sql_odbc для соединения с СУБД через ODBC драйверы;
 o Модуль mod_dynmasq для автоматического определения и назначения IP через сервисы динамической привязки имен.
 o mod_sql_sqlite - модуль для хранения аккаутов в SQLite базе;
 o Скрипт ftpmail отправляющий по почте уведомления о завершении загрузки;
 * Новые модули из базовой поставки:
 o Модуль mod_facts с реализацией команд MLSD и MLST, определенных в RFC3659. Поддержка модуля активируется по умолчанию;
 o Поддержка протокола идентификации описанного в RFC1413 вынесена из основного кода и реализована в виде модуля mod_ident.

http://www.opennet.r...shtml?num=20151

turbo

26 Февраля 2010, 20:47 #1 Последнее редактирование: 02 Апреля 2011, 14:12 от Zhek@Ch
[size="3"]Вышел ftp-сервер ProFTPD 1.3.3[/size]

Спустя год с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.3 в котором исправлено 150 ошибок и внесено несколько улучшений:

 * Новые модули:
 o mod_exec - позволяет привязать запуск внешних скриптов к определенным событиям внутри сессии;
 o mod_sftp - реализует поддержку протоколов SSH2, SFTP и SCP. Из расширений SFTP поддерживается check-file, copy-file, vendor-id, version-select, posix-rename@openssh.com, fstatvfs@openssh.com и statvfs@openssh.com.
 o mod_sftp_pam - предназначен для задействования в mod_sftp метода аутентификации 'keyboard-interactive' SSH2;
 o mod_sftp_sql - позволяет хранить публичные ключи SSH2 в SQL-базе;
 o mod_shaper - дает возможность ограничить пропускную способность для всего сервера в целом;
 o mod_tls_shmcache - организует кэширование данных SSL-сессий в памяти. Для управления используется директива TLSSessionCache;
 o mod_sql_passwd - организует возможность проверки в SQL-базе паролей, представленных в виде хэшей MD5, SHA1, SHA256 и SHA512;
 * Новые конфигурационные директивы:
 o RewriteHome - для переопределения домашней директории пользователя на основе заданного регулярного выражения. Для перезаписи в mod_rewrite нужно использовать псевдокоманду "REWRITE_HOME", например: "RewriteCondition %m REWRITE_HOME", "RewriteRule (.*) /my/new/prefix$1";
 o SQLPasswordUserSalt - для привязки к конкретному пользователю заданного "salt" при создании хэша для аутентификации. Например, в качестве "salt" может использоваться имя пользователя или результат SQL-запроса.
 o SFTPExtensions - для выборочного включения/выключения поддержки в mod_sftp заданных расширений протокола SFTP;
 o HiddenStores - для задания префиксов скрытых директорий, по умолчанию используется префикс ".in.";
 o SQLOptions - для определения дополнительных параметров обращения к SQL-серверу, например, указание "noReconnect" запрещает в mod_sql автоматическое повторное соединение с БД в случае обрыва текущего соединения;
 * Изменение поведения директив:
 o В AllowOverride отныне запрещено указывать группы и пользователей, вместо этого нужно использовать модуль mod_ifsession. Т.е. вместо "AllowOverride off user !admin" следует создать серию блоков "IfUser" с "AllowOverride on/off" внутри;
 o В BanOnEvent появилась возможность привязки к таймауту (TimeoutLogin);
 o В VirtualHost можно указывать адрес 0.0.0.0;
 o В директивах mod_rewrite к переменным окружения теперь можно обращаться через "%{ENV:var}";
 o В SQLGroupInfo и SQLUserInfo теперь допустимо использовать собственные SQL-запросы для получения информации о группе и пользователе;
 o Удалена поддержка директивы AnonymousGroup.
 * При обработке .ftpaccess, заданные в .ftpaccess директивы больше не могут изменять параметры уже определенные в основной конфигурации;
 * Задействован алгоритм для оптимизации передачи большого числа мелких файлов;
 * Добавлена опция командной строки "-S" ("--serveraddr"), дающая возможность указать в момент запуска IP для привязки сервера, при указании 0.0.0.0 прием соединений будет производиться на всех доступных сетевых интерфейсах;
 * В модуль mod_tls добавлен код, отключающий возможность выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки по подстановке данных в устанавливаемое между двумя точками защищенное соединение.
 * Изменена организация обращений к SQL серверу, которые теперь не производятся до момента аутентификации, что позволяет избавиться от лишних SQL-запросов при блокировании соединений такими модулями как mod_ban, mod_dnsbl и mod_wrap2_sql;
 * Налажена корректная обработка символа 0xFF в однобайтовых киррилических кодировках.

http://www.opennet.r...shtml?num=25580

Zhek@Ch

02 Апреля 2011, 14:15 #2 Последнее редактирование: 02 Апреля 2011, 14:15 от Zhek@Ch
[size="3"]Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей[/size]

Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e в котором исправлена 21 ошибка. В новой версии устранено две уязвимости:

  • Уязвимость в реализации команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
  • Уязвимость в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.
Другие исправления:

  • Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
  • Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
  • Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
  • Откорректирован вывод некоторых предупреждающих сообщений;
  • Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
  • Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;
Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4, в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.


Zhek@Ch

10 Ноября 2011, 17:34 #3 Последнее редактирование: 10 Ноября 2011, 17:34 от Zhek@Ch
[size="3"]Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости [/size]

Спустя полтора года с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость, которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "ошибка, приводящая к повреждению памяти".

В настоящее время опубликована подробная инструкция с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который не опубликован публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian. Патч с исправлением уязвимости можно загрузить здесь.

Среди улучшений, добавленных в ProFTPD 1.3.4:

  • Новые модули
    • mod_tls_memcache - использование mod_memcache/memcached для кэширования в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы FTP-серверов;
    • mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
    • mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
    • mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
    • mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
  • Новые директивы конфигурации
    • MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможностью блокирования клиента через mod_ban при превышении указанного порога;
    • ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
    • SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
    • TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
    • Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
    • SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
    • WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
  • Упрощены директивы конфигурации mod_ldap;
  • Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
  • "Limit WRITE" теперь запрещает перемещение и переименования файлов вне директории, для которой задано ограничение;
  • Прекращена поддержка директивы DisplayGoAway.