24 Ноября 2024, 20:14

vsftpd

Автор ping_Win, 20 Февраля 2009, 18:23

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

ping_Win

20 Февраля 2009, 18:23 Последнее редактирование: 03 Марта 2011, 13:08 от Zhek@Ch
[size="3"]Обновление vsftpd - 2.1.0[/size]

Выпущен релиз надежного, защищенного и высокопроизводительного FTP сервера vsftpd 2.1.0. По сравнению с прошлым выпуском внесено около 100 изменений, из которых можно отметить:

 * Улучшена и приведена в нормальный вид реализация поддержки SSL, добавлена опция implicit_ssl;
 * Изменено поведение работы ASCII режима, которое теперь совпадает с ProFTPd (в конце строк "rn" вместо "rrn", как было сделано для совместимости с wu-ftpd);
 * Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;
 * Сообщения в логе приведены к более аккуратному виду;
 * Реализован корректный метод блокировки закачиваемых файлов, устранены проблемы проявляющиеся при попытках одновременной загрузки одного и того же файла;
 * Для каждого процесса теперь по умолчанию выставлен лимит потребляемой памяти в 100 Мб (на случай, если обнаружится утечка памяти);
 * Из vsftpd rpm пакета из состава Fedora Linux в основную ветку интегрировано 12 патчей;
 * Исправлены проблемы со сборкой в OpenBSD, Fedora Linux и на 64-разрядных платформах.

http://www.opennet.r...shtml?num=20378

Zhek@Ch

03 Марта 2011, 13:09 #1 Последнее редактирование: 03 Марта 2011, 13:10 от Zhek@Ch
[size="3"]Вышел vsftpd 2.3.4 с устранением DoS-уязвимости[/size]

Выпущен корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.

Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые используют устаревшие версии vsftpd отмечаются: ftp.gnu.org (2.0.6), ftp.kernel.org (2.2.2), ftpgen.wip4.adobe.com (2.3.2), ftp.oracle.com (2.0.5), ftp.freebsd.org (2.2.0).


Zhek@Ch

04 Июля 2011, 16:19 #2 Последнее редактирование: 04 Июля 2011, 16:21 от Zhek@Ch
[size="3"]В исходных текстах FTP-сервера vsftpd обнаружен бэкдор [/size]

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор сверхзащищенного FTP-сервера vsftpd, опубликовал уведомление об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine.

Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет собой классический бэкдор, запускающий shell на TCP-порту 6200 при наличии в имени пользователя смайлика
/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />Код бэкдора не был запутан и легко поддается анализу (изменения составляют около десятка строк). Удивление вызывают непродуманные действия совершивших атаку, которые не предусмотрели в бэкдоре механизма для отправки уведомления о возможности проникновения. Непонятно, как злоумышленники пытались выявить пораженные бэкдором хосты. Средства оповещения и запутывание кода являются непременными атрибутами современных бэкдоров. Все это позволяет сделать вывод, что поражение vsftpd скорее хулиганская выходка, чем целенаправленная атака.

Автор vsftpd настоятельно рекомендует проверять цифровую подпись для всех распространяемых архивов с кодом. В частности, при выполнении "gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается явное предупреждение о нарушении цифровой подписи ("gpg: BAD signature..." вместо "gpg: Good signature..."). Пока не ясно как долго указанный архив распространялся с бэкдором и каким образом злоумышленникам удалось взломать аккаунт на хостинге проекта (судя по всему vsftpd размещался на shared-хостинге, поддержка которого осуществлялась сторонней компанией).