[size="3"]Доступен релиз ProFTPD 1.3.2 с устранением уязвимости[/size]
Спустя 16 месяцев с момента выхода прошлой версии вышел релиз ProFTPD 1.3.2 (http://www.proftpd.org/docs/RELEASE_NOTES-1.3.2) в котором исправлено 120 ошибок, среди которых устранена серьезная уязвимость (http://secunia.com/Advisories/33842/) в модулях mod_sql_mysql и mod_sql_postgres, используя которую злоумышленник может осуществить подстановку SQL кода (SQL injection) в системах, поддерживающих многобайтовые кодировки со включенной в конфигурации поддержкой NLS (сборка с --enable-nls). Проблеме не подвержены системы с переменной окружения "LANG" выставленной в 8-битную кодировку.
Некоторые наиболее интересные изменения (http://www.proftpd.org/docs/NEWS-1.3.2):
* По умолчанию активирована поддержка IPv6, для отключения в proftpd.conf нужно указать "UseIPv6 off";
* Добавлен перевод сообщений на русский язык;
* Устранены проблемы с установкой кодировки на платформе FreeBSD;
* По умолчанию значение настройки TimeoutLinger уменьшено с 180 до 30 секунд, так как у большинства клиентов значение время ожидания ответа сервера равняется 60 сек. и чтобы не натолкнуться на таймаут клиента TimeoutLinger не должен превышать 60 сек.;
* Исправлено несколько проблем, связанные с обрывом соединения;
* Устранена утечка файловых дескрипторов при ведении лога через syslog;
* Добавлена утилита prxs для быстрой сборки и установки сторонних модулей без наличия исходных текстов proftpd;
* Опция "-vv" теперь в дополнение к списку статически вкомпилированных модулей, отображает и динамически собранные модули. Только статические модули можно просмотреть при помощи опции "-l";
* Новые директивы конфигурации:
o AuthPAMOptions - установка дополнительных опций для PAM модулей;
o MaxTransferPerHost, MaxTransfersPerUser - задание ограничение на максимальное число одновременных передач данных для заданного хоста или пользователя.
o TLSVerifyOrder - директива для настройки порядка проверки сертификата в коде поддержки протокола OCSP (Online Certificate Status Protocol) в mod_tls;
o TransferPriority - позволяет изменить приоритет выполнения процесса;
o UseEncoding - в модуле mod_lang добавлена возможность использования кодировки отличной от UTF8 для управляющих соединений;
* Прекращена поддержка директив AnonymousGroup и UseUTF8;
* Новые модули и скрипты в архиве дополнительных компонент (contrib):
o Модуль mod_unique_id для генерации в переменной окружения UNIQUE_ID уникального идентификатора для каждой FTP сессий. Для генерации идентификатора используется IP хоста и клиента, pid-процесса и текущее время;
o Модуль mod_sql_odbc для соединения с СУБД через ODBC драйверы;
o Модуль mod_dynmasq для автоматического определения и назначения IP через сервисы динамической привязки имен.
o mod_sql_sqlite - модуль для хранения аккаутов в SQLite базе;
o Скрипт ftpmail отправляющий по почте уведомления о завершении загрузки;
* Новые модули из базовой поставки:
o Модуль mod_facts с реализацией команд MLSD и MLST, определенных в RFC3659. Поддержка модуля активируется по умолчанию;
o Поддержка протокола идентификации описанного в RFC1413 вынесена из основного кода и реализована в виде модуля mod_ident.
http://www.opennet.r...shtml?num=20151 (http://www.opennet.ru/opennews/art.shtml?num=20151)
[size="3"]Вышел ftp-сервер ProFTPD 1.3.3[/size]
Спустя год с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.3 в котором исправлено 150 ошибок и внесено несколько улучшений:
* Новые модули:
o mod_exec - позволяет привязать запуск внешних скриптов к определенным событиям внутри сессии;
o mod_sftp - реализует поддержку протоколов SSH2, SFTP и SCP. Из расширений SFTP поддерживается check-file, copy-file, vendor-id, version-select, posix-rename@openssh.com, fstatvfs@openssh.com и statvfs@openssh.com.
o mod_sftp_pam - предназначен для задействования в mod_sftp метода аутентификации 'keyboard-interactive' SSH2;
o mod_sftp_sql - позволяет хранить публичные ключи SSH2 в SQL-базе;
o mod_shaper - дает возможность ограничить пропускную способность для всего сервера в целом;
o mod_tls_shmcache - организует кэширование данных SSL-сессий в памяти. Для управления используется директива TLSSessionCache;
o mod_sql_passwd - организует возможность проверки в SQL-базе паролей, представленных в виде хэшей MD5, SHA1, SHA256 и SHA512;
* Новые конфигурационные директивы:
o RewriteHome - для переопределения домашней директории пользователя на основе заданного регулярного выражения. Для перезаписи в mod_rewrite нужно использовать псевдокоманду "REWRITE_HOME", например: "RewriteCondition %m REWRITE_HOME", "RewriteRule (.*) /my/new/prefix$1";
o SQLPasswordUserSalt - для привязки к конкретному пользователю заданного "salt" при создании хэша для аутентификации. Например, в качестве "salt" может использоваться имя пользователя или результат SQL-запроса.
o SFTPExtensions - для выборочного включения/выключения поддержки в mod_sftp заданных расширений протокола SFTP;
o HiddenStores - для задания префиксов скрытых директорий, по умолчанию используется префикс ".in.";
o SQLOptions - для определения дополнительных параметров обращения к SQL-серверу, например, указание "noReconnect" запрещает в mod_sql автоматическое повторное соединение с БД в случае обрыва текущего соединения;
* Изменение поведения директив:
o В AllowOverride отныне запрещено указывать группы и пользователей, вместо этого нужно использовать модуль mod_ifsession. Т.е. вместо "AllowOverride off user !admin" следует создать серию блоков "IfUser" с "AllowOverride on/off" внутри;
o В BanOnEvent появилась возможность привязки к таймауту (TimeoutLogin);
o В VirtualHost можно указывать адрес 0.0.0.0;
o В директивах mod_rewrite к переменным окружения теперь можно обращаться через "%{ENV:var}";
o В SQLGroupInfo и SQLUserInfo теперь допустимо использовать собственные SQL-запросы для получения информации о группе и пользователе;
o Удалена поддержка директивы AnonymousGroup.
* При обработке .ftpaccess, заданные в .ftpaccess директивы больше не могут изменять параметры уже определенные в основной конфигурации;
* Задействован алгоритм для оптимизации передачи большого числа мелких файлов;
* Добавлена опция командной строки "-S" ("--serveraddr"), дающая возможность указать в момент запуска IP для привязки сервера, при указании 0.0.0.0 прием соединений будет производиться на всех доступных сетевых интерфейсах;
* В модуль mod_tls добавлен код, отключающий возможность выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки по подстановке данных в устанавливаемое между двумя точками защищенное соединение.
* Изменена организация обращений к SQL серверу, которые теперь не производятся до момента аутентификации, что позволяет избавиться от лишних SQL-запросов при блокировании соединений такими модулями как mod_ban, mod_dnsbl и mod_wrap2_sql;
* Налажена корректная обработка символа 0xFF в однобайтовых киррилических кодировках.
http://www.opennet.r...shtml?num=25580 (http://www.opennet.ru/opennews/art.shtml?num=25580)
[size="3"]Релиз ftp-сервера ProFTPD 1.3.3e с устранением уязвимостей[/size]Доступен корректирующий релиз FTP-сервера ProFTPD 1.3.3e (http://www.proftpd.org/) в котором исправлена 21 ошибка (http://www.proftpd.org/docs/NEWS-1.3.3e). В новой версии устранено две уязвимости:
- Уязвимость (http://linuxforum.kz/index.php?/topic/3569-postfix/page__view__findpost__p__15669) в реализации (http://bugs.proftpd.org/show_bug.cgi?id=3624) команды STARTTLS в mod_tls, дающая возможность подстановки команды в FTP-сессию, работающую по защищенному TLS-каналу.
- Уязвимость (http://bugs.proftpd.org/show_bug.cgi?id=3586) в модуле "mod_sftp", позволяющая удаленно инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных.
Другие исправления:
- Устранена потенциальная возможность переполнения буфера в различных модулях, использующих функцию sreplace();
- Исправлена проблема с некорректной обработкой привилегий при использовании опции "--enable-autoshadow";
- Проведена оптимизация производительности, благодаря которой был ускорен запуск и перезапуск ftp-сервера;
- Откорректирован вывод некоторых предупреждающих сообщений;
- Налажена работа правил, содержащих регулярные выражения, в mod_ifsession;
- Устранена проблема, приводившая к некорректной генерации DSA-сигнатур для SSH-сессий;
Кроме того, можно отметить выход второго кандидата в релизы ProFTPD 1.3.4 (http://www.proftpd.org/docs/RELEASE_NOTES-1.3.4rc2), в котором добавлены новые модули mod_copy, mod_deflate, mod_qos, mod_ifversion, mod_memcache и mod_tls_memcache, обеспечена поддержка кэширования через Memcache, добавлена поддержка библиотеки регулярных выражений PCRE, добавлена директива MaxCommandRate и расширены возможности mod_sftp.
# opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=30107)
[size="3"]Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости [/size]Спустя полтора года с момента выхода прошлой версии вышел (http://www.proftpd.org/) релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость (http://secunia.com/advisories/46811/), которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "ошибка, приводящая к повреждению памяти".
В настоящее время опубликована подробная инструкция (http://bugs.proftpd.org/show_bug.cgi?id=3711) с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который не опубликован (http://www.zerodayinitiative.com/advisories/upcoming/) публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD (http://www.vuxml.org/freebsd/), Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/), Gentoo (http://www.gentoo.org/security/), Slackware (http://www.slackware.com/security/list.php?l=slackware-security&y=2011), Mandriva (http://www.mandriva.com/en/security/advisories?dis=2011), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2011-11/), CentOS (http://lists.centos.org/pipermail/centos-announce/2011-November/thread.html), Fedora (https://admin.fedoraproject.org/updates/F16/security), RHEL (http://rhn.redhat.com/errata/rhel-server-errata.html) и Debian (http://www.debian.org/security/). Патч с исправлением уязвимости можно загрузить здесь (http://bugs.proftpd.org/attachment.cgi?id=3676).
Среди улучшений (http://www.proftpd.org/docs/RELEASE_NOTES-1.3.4), добавленных в ProFTPD 1.3.4:
- Новые модули
- mod_tls_memcache - использование mod_memcache/memcached для кэширования в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы FTP-серверов;
- mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
- mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
- mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
- mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
- Новые директивы конфигурации
- MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможностью блокирования клиента через mod_ban при превышении указанного порога;
- ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
- SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
- TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
- Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
- SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
- WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
- Упрощены директивы конфигурации mod_ldap;
- Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
- "Limit WRITE" теперь запрещает перемещение и переименования файлов вне директории, для которой задано ограничение;
- Прекращена поддержка директивы DisplayGoAway.
# opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=32272)