LINUX.ORG.RU

Критическая уязвимость CVE-2019-12815 в ProFTPd

 , ,


1

0

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от targitaj

А как этот ваш rsync нормально поставить на винду? Самый популярный ответ в сети это:

Activate Windows Subsystem for Linux (WSL): Install Windows Subsystem for Linux (WSL) on on Windows 10
Download the app for any Linux distro that you like from the Windows App Market: Ubuntu kopen - Microsoft Store nl-NL

W7 идет нафиг, станки, идут нафиг, проекторы идут нафиг, все идет нафиг, кто не W10.

PPP328 ★★★★★
()
Ответ на: комментарий от targitaj

There are a few out there but most of them are designed for Linux but patched up to work on Windows which is just a pain to try to get them working, and if they work and break, forget trying to fix them let alone no support.

Нулевая кроссплатформенность.

PPP328 ★★★★★
()
Ответ на: комментарий от targitaj

Давай, назови сервер\клиент, который абсолютно одинаково ведет себя на любой платформе, хоть винде, хоть линуксе, хоть распберри, хоть на WinCE банкомате.

Нету таких. А FTP есть и работает везде.

PPP328 ★★★★★
()
Ответ на: комментарий от mandala

Так разлагается, что пахнет на полинтернета. Не знаю как ты, а я регулярно пользуюсь FTP.

А я нет. Я не знаю ни одного крупного проекта, кто не закапывал бы FTP. Даже OpenBSD, у которых ещё YP(!) жив, закопали FTP.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от Deleted

Если не FTP то кто?

Для паблика? HTTP, очевидно. Для особо сложных случаев rsync.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Как показала практика, мамкины рисовальщики сайтов не в состоянии ни в rsync, ни в ssh. Ага, пачка *цензура* мамкиных *цензура* *цензура*. Бузинисьмены. Говнякают на всяких wordpress. Было, сталкивался. Они прямо эталонные эти самые.

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Как показала практика, мамкины рисовальщики сайтов не в состоянии ни в rsync, ни в ssh. Ага, пачка *цензура* мамкиных *цензура* *цензура*. Бузинисьмены. Говнякают на всяких wordpress. Было, сталкивался. Они прямо эталонные эти самые.

Я ничего не понял. Для того, чтобы отдать директорию в nginx/httpd/whatever, нужна одна директива, и никаких сайтиков не нужно. Вот, смотри: https://mirror.vdms.com/pub/OpenBSD/

kirk_johnson ★☆
()
Ответ на: комментарий от PPP328

Rsync обычно делают между серверами. Для клиентов есть http фронтенды

kirk_johnson ★☆
()
Ответ на: комментарий от targitaj

Нет, товарищ, я работаю с оборудованием таких компаний как Dolby, SONY, Christie, IMAX и Barco. И вот представляете, какая засада, ни у кого из них нет rsync. Зато FTP\sFTP есть у всех. Что-то не стремится никто из крупных закапывать FTP. Зачем закапывать то, что работает?

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

В некоторых банках все еще делфи есть. По моему, это не повод радоваться.

kirk_johnson ★☆
()
Ответ на: комментарий от targitaj

rsync over ssh

Ты извращенец? Эта фигня работает беспринципно медленно, ибо весь траффик шифруется и дешифруется.

fehhner ★★★★★
()
Ответ на: комментарий от PPP328

Ясно теперь, почему оно всё такое дырявое. Оно не «работает», оно сдохло 10+ лет назад. Но ты можешь еще вспомнить говнокодеров из компании Toyota, да. Поставить, так сказать, в пример. Имя же, ага, то да сё, крупная компания, все дела (лол). И работаешь ты, очевидно, не с оборудованием, а с кинотеатрами. Кинцо им разливаешь, поди?

targitaj ★★★★★
()
Ответ на: комментарий от PPP328

А как этот ваш rsync нормально поставить на винду? Самый популярный ответ в сети это:
...
W7 идет нафиг, станки, идут нафиг, проекторы идут нафиг, все идет нафиг, кто не W10.

Это нормальный ход винды. Что-то не так?

Впрочем, у вас есть ещё ходы:

  • завести linux в виртуалочке,
  • завести colinux (32-bit only :(), и запускать linux там.
  • установить cygwin и пускать rsync оттуда.
  • приобрести cwRsync
  • портировать rsync самостоятельно :)
anonymous
()
Ответ на: комментарий от targitaj

Кинцо им разливаешь, поди?

Разливка, управление оборудованием, автоматизация.

Поставить, так сказать, в пример.

Што-то аджайловые фанатики ставят и им норм.

Ясно теперь, почему оно всё такое дырявое. Оно не «работает», оно сдохло 10+ лет назад.

И почему же, позвольте узнать? Что-то Dolby не спешит что-то менять, с учетом того, что почти каждый год выпускают новые модели с новым функционалом.

PPP328 ★★★★★
()
Ответ на: комментарий от targitaj

Лол што

sshfs в домашней сетке показывает ничтожную производительность при монтировании малины, скорость в 2-3 раза ниже альтернативных способовов типо NFS.

fehhner ★★★★★
()
Ответ на: комментарий от targitaj

И работаешь ты, очевидно, не с оборудованием

Именно с оборудованием. Пишу реализации протоколов общения.

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

Разливка, управление оборудованием, автоматизация.

а офис случайно не на восточном берегу канала им. Москвы? Рядом со станцией метро Речной вокзал.

Что-то Dolby не спешит что-то менять, с учетом того, что почти каждый год выпускают новые модели с новым функционалом.

нищеброды, ага, за десятки лет не в состоянии базовую прошивку держать uptodate. Страшно представить что там в базе у прошивки.

targitaj ★★★★★
()
Ответ на: комментарий от kirk_johnson

Вот типичная задача: на сервер нужен доступ 1000+ клиентам, они заливают, удаляют, редактируют, скачивают каталоги и файлы. Естественно разграничение доступа, квоты и т.п. Клиент хз на какой ОС и какое у него там ПО.

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

1000+ клиентам, они заливают, удаляют, редактируют каталоги и файлы. Естественно разграничение доступа, квоты и т.п

под такие задачи вообще-то специальный софт есть. Лол вы такое решаете с помощью FTP??? Вот это ад *цензуры" у вас там!!

targitaj ★★★★★
()
Ответ на: комментарий от kirk_johnson

Это они на CDN перекатываются для раздачи. Тут вопросов нет.

Что делать с не анонимными серверами FTP? Вот кейс описал чуть выше типичный.

mandala ★★★★★
() автор топика
Ответ на: комментарий от targitaj

Хз о чём ты, в последний раз через Атлантический океан перелил 20+ терабайт дня за 3-4, с перепроверками.

Я говорю тебе о том, что зависит от юзкейса. Если тебе нужно лить либо для большого числа пользователей, либо на слабом железе - ты задумаешься о ресурсах. На малине проц не слишком и слабый, но все файлы при передаче шифруются/дешифруются сертификатом. Я монтирую по NFS и хожу довольный, sshfs показывает скорость гораздо ниже. И ftp на дешёвых хостах тоже быстрее, чем с ssh тянуть.

fehhner ★★★★★
()
Ответ на: комментарий от targitaj

Да любой шаред-хостинг сидит на ФТП, а они не собираются подыхать в обозримом будущем.

специальный софт есть

Какой? Вот я решил что FTP труп и его надо закопать. На что мне мигрировать?

mandala ★★★★★
() автор топика
Ответ на: комментарий от targitaj

а офис случайно не на восточном берегу канала им. Москвы?

Я не в мск.

PPP328 ★★★★★
()
Ответ на: комментарий от Legioner

Где удобный кроссплатформенный софт, чтобы удобно управлять сотнями и тысячами учёток? Какие популярные панели управления это поддерживают?

mandala ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.