LINUX.ORG.RU

Критическая уязвимость CVE-2019-12815 в ProFTPd

 , ,


1

0

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от kirk_johnson

Какой гит? Веб-морда и клиент на электроне!

mandala ★★★★★
() автор топика
Ответ на: комментарий от kirk_johnson

Типа такой же шаред хостинг, только там на каждого клиента отдельные инстансы апача и прочего в докере? Ну хз, не думаю, что это экономически целесообразно. Те, кто будут так делать, просто не смогут по цене конкурировать с традиционным подходом, имхо, а преимуществ не видать. Но мне пофиг, да, как оно там внутрях, лишь бы работало.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Кнопка будет обслуживаться тем же веб сервером, что и вордпресс?

И тогда уже нужны кнопки для плагинов под каждую CMS. В cpanel ты их будешь добавлять или нужна еще одна панель?

anonymous
()

Ftp, конечно, параша, а proftpd дырявый как дуршлаг. Но Вт у меня есть древняя файлопомойка, есть желание перевести её на sftp и ничего сравнимого по гибкости для sftp я не нашёл. Есть mod_sftp для proftpd, но это шило на шило, даже не на мыло. И ещё есть mysecureshell - но оно тоже такой себе кусок софта, да и походу сдохло

overmind88 ★★★★★
()
Ответ на: комментарий от kirk_johnson

Да тут даже докер у меня крутится! Всё современно, разве что поклонники потеринга будут недовольны, им аналог не завезли еще, хотя обещали несколько лет назад.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Кнопка будет обслуживаться тем же веб сервером, что и вордпресс?

Разумеется нет.

И тогда уже нужны кнопки для плагинов под каждую CMS. В cpanel ты их будешь добавлять или нужна еще одна панель?

Я практически уверен, что заливку файла в нужную директорию cpanel осилит %)

kirk_johnson ★☆
()
Ответ на: комментарий от Legioner

Потому что по факту это одно и то же, лал. Просто докер дает больше возможностей и избавляет от части пердолева.

kirk_johnson ★☆
()
Ответ на: комментарий от Legioner

Ресурсы дешевеют. Ну и не один контейнер, а связка же: апач, пхп, цмс, мускуль, что там еще кому надо – все в маленьких контейнерах. Даже проще для хостера – надо поддерживать лишь контейнерую платформу, а не зоопарк из пхп, апач, и прочее.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Да плагины твои в конфиг скинуться, конфигурация вропресса условного в контейнера монтируется из постоянного хранилища и собирается быстрее чем руками обновить.

mandala ★★★★★
() автор топика
Ответ на: комментарий от kirk_johnson

Разумеется нет.

Можно подробнее?

Я практически уверен, что заливку файла в нужную директорию cpanel осилит %)

Так и вордпресс своими силами справится. Вопрос только в правах на файлы.

anonymous
()
Ответ на: комментарий от overmind88

Ну для наколенке фтп ни кто не отнимает, тут разговор что в мире ынтырпрайза он уже отмирает.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

Да плагины твои в конфиг скинуться

В какой конфиг? Вы сейчас про решение проблемы обновления вордпресса для админа или для пользователя?

anonymous
()
Ответ на: комментарий от mandala

да кто же ломает-то, все чинят. Вордпресс сам попросит так сделать :)

Вот как раз после нажатия на кнопочку обновления или установки плагина.

anonymous
()
Ответ на: комментарий от anonymous

Для пользователя будет кнопка, контейнер собрался, все переключилось, простоя нет, у клиента статус-бар обновления показал 100%.

Ну не завтра это будет, а через несколько лет.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

про будущее спорить не берусь :)

anonymous
()
Ответ на: комментарий от mandala

А что, файлзилла не умеет подключаться по ssh? У меня мои ходят править файла на бэке сайта по ssh программулиной. Им вообще пофиг ssh там или еще что-то.

targitaj ★★★★★
()
Ответ на: комментарий от mandala

на закапывание этого я с радостью подойду.

anonymous
()
Ответ на: комментарий от targitaj

Ну так в профиле соединения просто выбираешь sftp и всё, про сертификаты не помню, но тоже должна, по идее. Я говорил с точки зрения сервера.

mandala ★★★★★
() автор топика
Ответ на: комментарий от WatchCat

А что такова? Хомяк такой же у него как и на фтп, не выберется. Команды ограничены. Уязвимости? Ну вот сабжевая позволяет также выбраться и из фтп. Другое дело что нет аналога proftpd для руления доступом по sftp.

mandala ★★★★★
() автор топика
Ответ на: комментарий от Mr_Alone

Ты серьезно сейчас? Ващет рекурсивно директории копирует. Давно? Не знаю, последние лет 6 точно копирую.

targitaj ★★★★★
()
Ответ на: комментарий от anonymous

Я только файлы залить хотел, CMS обновить, а ты про какой-то ужас.

а ты вообще в курсе как там устроено по tcp портам у ftp? Вот где настоящий ад женского полового органа.

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

к сожалению был в курсе (или так думаю), но время лечит, т.к. настраивать его давно не приходилось.

Фраза же была не с т.з. админа. Так-то посвященные знают, что и езда на автомобиле не только бензина требует.

anonymous
()
Ответ на: комментарий от anonymous

Ну с точки зрения юзера давно уже есть проводники (под венду) которые умеют ssh и ты работаешь просто драг-дропом. Просто как в проводнике.

targitaj ★★★★★
()
Ответ на: комментарий от mandala

Вопрос не в том что он что-то может залить, а в том что он может что-то выполнить. И noexec не панацея. Да, можно заморочится с чрутом и прочими телодвижениями. Но нафига, если дать доступ по ftp проще и быстрее?
Что до уязвимостей,то не одним proftpd мир живёт.

Хотя конечно сам протокол ftp тот ещё древний кал мамонта.

WatchCat ★★★★★
()
Ответ на: комментарий от targitaj

да в курсе я, тем более что плагины к тому же TotalCommander есть уже много лет. Там изначально разговор был про отказ от ftp в пользу http, но он себя исчерпал.

anonymous
()
Ответ на: комментарий от mandala

Ой, ви таки давно не слышали про уязвимости в интелях? Говорят, что некоторые даже гипервизор позволяли обойти.

WatchCat ★★★★★
()
Ответ на: комментарий от targitaj

Оно всё давно через веб-морду работает.

В пределах одного устройства. Киномех должен бегать по 20 залам чтобы везде все включить. Или использовать наш единый фронт и наш бэк, которому посрать SONY там, Doremi, Dolby или еще какая корейская херня. При этом он может быть хоть в другом городе, они зачастую так и делают - один киномех на 5-7 кт.

PPP328 ★★★★★
()
Ответ на: комментарий от WatchCat

Хотя конечно сам протокол ftp тот ещё древний кал мамонта.

Старый не значит плохой. По крайне мере он как раз и проектировался чтобы передавать файлы, буква Ф как бы намекает.

А теперь мой коронный вопрос, пусть подумают как они будут эмулировать банальную фтп вещь как фхп.

mx__ ★★★★★
()
Ответ на: комментарий от WatchCat

Ну для больших публичных сервисов есть решения типа NextCloud, вроде как.

targitaj ★★★★★
()
Ответ на: комментарий от PPP328

Поразительная наивность. Какая там еще в сраку «собственная система». Обычный торрент.

targitaj ★★★★★
()

Вообще почему то у многих ФТП ассоциируется только скачиванием файлов с сервера, ну да на эту однобокую и куцую роль торенты и даже HTTP подойдет.

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.