Удаленная уязвимость в OpenLDAP и локальная в ProFTPD

0

0

В OpenLDAP найдена серьезная проблема безопасности, позволяющая атакующему удаленно выполнить свой код на сервере. Уязвимости подвержены только версии OpenLDAP собранные с ключом "--enable-kbind" (по умолчанию выключено начиная с версии 2.0.2 и удалено из скрипта конфигурирования начиная с 2.1).

http://secunia.com/advisories/23334/

В ProFTPD продолжают находить уязвимости, на этот раз используя ошибку в коде модуля mod_ctrls, злоумышленник имеющий локальный аккаунт может выполнить свой код на сервере c правами суперпользователя. Ошибка исправлена в ProFTPD 1.3.1rc1.

http://secunia.com/advisories/23371/

Взято с OpenNet.ru

Ссылка

←	Поддержка старых релизов Fedora Core прекращается

qtpfsgui 1.0

→

> В ProFTPD ... злоумышленник имеющий локальный аккаунт может выполнить свой код на сервере c правами суперпользователя.

Так с правами суперпользователя или с правами пользователя под которым работает ProFTPD ?

Rain ★★★★
(15.12.06 09:04:05 MSK)

Ответ на: комментарий от Rain 15.12.06 09:04:05 MSK

> Так с правами суперпользователя или с правами пользователя под которым работает ProFTPD ?

Я думаю, что если кто-то достаточно глуп, чтобы еще использовать насквозь дырявый proftpd при существовании vsftpd, то он достаточно глуп, чтобы запускать его с правами суперпользователя.. Так что это равноценные утверждения.

anonymous
(15.12.06 17:57:15 MSK)

Ответ на: комментарий от anonymous 15.12.06 17:57:15 MSK

использовал и буду использовать proftpd , кста в debian stable с proftpd все ок .
а как у vsftpd с наличием фич которые есть у proftpd ?

j262 ★★
(15.12.06 18:03:54 MSK)

Ссылка

имхо proftpd пускать не от рута можно толко из inetd, а это не всегда хочеться делать

alt0v14 ★★★
(15.12.06 18:58:29 MSK)

Товарищ root_at_localhost, вы уже третью новость сегодня без указания первоисточника тащите. Оригинал текста: http://www.opennet.ru/opennews/art.shtml?num=9233

anonymous
(15.12.06 18:59:45 MSK)

Ссылка

The vulnerability is located in the "Controls" module. This is an optional feature of ProFTPD server, that must be activated in the configuration file.

это не о чем не говорит?

DeViL ★
(15.12.06 19:03:18 MSK)

Ссылка

Ответ на: комментарий от alt0v14 15.12.06 18:58:29 MSK

>имхо proftpd пускать не от рута можно толко из inetd, а это не всегда хочеться делать

А с какими еще правами вам дадут забиндиться на <1024 порт? После запуска привилегии дропаются конечно.

kostian ★★★★☆
(15.12.06 19:42:22 MSK)

Ответ на: комментарий от kostian 15.12.06 19:42:22 MSK

а я что сказал?

alt0v14 ★★★
(15.12.06 19:46:36 MSK)

Ответ на: комментарий от alt0v14 15.12.06 19:46:36 MSK

to alt0v14:

После открытия сокета, он работает не с рутовыми правами.

anonymous
(15.12.06 20:13:18 MSK)

Сразу видно, что не все понимают о чём речь и насколько велика проблема у ProFTPD. Если вы делали ./configure --enable-ctrls, то стоит опасаться, в остальных случаях расслабьтесь - он по умолчанию не компилится...

P.S. Учите матчасть, а то лишь бы флейм развести....

anonymous
(15.12.06 20:22:51 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.12.06 20:13:18 MSK

>После открытия сокета, он работает не с рутовыми правами.

а вдруг уязвимость будет в коде который работает от рута? ;)

proftpd умеет свитчить юзера а openldap? я в конфиге не нашел.

alt0v14 ★★★
(15.12.06 20:23:37 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.12.06 17:57:15 MSK

А как у pure-ftpd и vsftp работа с radius???И есть ли маны как сделать прямую загрузку xferlog в базу MySQL??

gtbear ★
(15.12.06 20:56:39 MSK)

Ответ на: комментарий от gtbear 15.12.06 20:56:39 MSK

а я для авторизации пользую пам, а там хоть радиус хоть лдап

alt0v14 ★★★
(15.12.06 22:44:04 MSK)

Ответ на: комментарий от alt0v14 15.12.06 22:44:04 MSK

а квоты?

hatefu1_dead ★
(16.12.06 00:03:55 MSK)

Как бы там ни было, но вещь неприятная..

MiracleMan ★★★★★
(16.12.06 00:22:23 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.12.06 17:57:15 MSK

>Я думаю, что если кто-то достаточно глуп, чтобы еще использовать насквозь дырявый proftpd при существовании vsftpd, то он достаточно глуп, чтобы запускать его с правами суперпользователя.. Так что это равноценные утверждения.

Как в vsftpd выделить пользователю на отдельный каталог права только на отдельные команды? Например, сделать так, чтобы в определенном каталоге можно было закачивать файлы, но не каталоги, можно было видеть список файлов, но нельзя было читать/писать уже залитые файлы?

anonymous
(16.12.06 00:27:27 MSK)

Ответ на: комментарий от anonymous 16.12.06 00:27:27 MSK

Подозреваю, что товарищи, которые так критикуют ProFTPD, на деле с ним ниразу не работали и не понимают зачем вообще такой FTP сервер нужен, когда есть vsftpd, который отлично справляется с задачей "умею копать, умею не копать", чего им более чем достаточно.

mutronix ★★★★
(16.12.06 03:14:55 MSK)

Ответ на: комментарий от mutronix 16.12.06 03:14:55 MSK

Пока нет сложных задач можно юзать простенькие фтп сервера..а когда понадобиться сделать что-то сложное..так без proftpd не обойтись. З.Ы.А как в pureftpd и vsftpd сделана работа с .ftpaccess файлами?

gtbear ★
(16.12.06 09:54:28 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.12.06 17:57:15 MSK

> Я думаю, что если кто-то достаточно глуп, чтобы еще использовать насквозь дырявый proftpd при существовании vsftpd, то он достаточно глуп, чтобы запускать его с правами суперпользователя.. Так что это равноценные утверждения.

ftp distro.ibiblio.org

Connected to jungle.metalab.unc.edu.

220 ProFTPD Server (Bring it on...)

фперёд

Spinal ★
(16.12.06 12:34:54 MSK)