LINUX.ORG.RU

Критическая уязвимость CVE-2019-12815 в ProFTPd

 , ,


1

0

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от mx__

Да большинство серверов FTP вебморду отдают через nginx по http, кстати.

А большинство простых людей не видели FTP кроме как в браузере для загрузки, и уж тем более не администрировали даже простенький демон аля freebsd ftp, не говоря уж о proftpd.

mandala ★★★★★
() автор топика
Ответ на: комментарий от dem

Установи дополнение же, ну!

Естественно речь идет о веб-приложении. Я тут уже говорил и о клиентах, аля электрон или nextcloud-appimage (хз на чем он, но вроде как раз электрон).

mandala ★★★★★
() автор топика
Ответ на: комментарий от PPP328

FTP есть и работает везде

FTP не работает нигде, причём везде по-разному. Во-первых, паталогические проблемы с non-ascii, наследие telnet. Причём независимо от того умеет ли это правильно обрабатывать сервер (т.е. дублировать 0xff), найдутся клиенты которые не умеют и наоборот. Во-вторых, ублюдский протокол с отдельным соединением на каждый трансфер, даже на list. Причём про активное можно сразу забыть потому что оно не долетит к клиентам за NAT, а для пассивного вызывает боль настройка фаирвола или проброса портов, потому что ему нужен сразу диапазон. Полное отсутствие SSL на практике, из-за чего принципиально нельзя надёжно передать файл - нужно сходить на сервер, посчитать там контрольную сумму, передать её на клиента, посчитать там и сравнить (можно считать это обязательно частью протокола). И я говорю не только про подсаживание налету троянов в скачиваемый софт (а я и этому был свидетелем), но и битые файлы как норма (хорошо видно по рассыпающимся кадрам в фильмах и по целой эпохе имён файлов с CRC в названии).

Короче, надеюсь эта уязвимость заставит как можно больше народу убить FTP сервера которые у них всё ещё работают, а те сервера которые никто по факту не админит поломают и нашпигуют троянами вместо их оригинального контента, в результате чего этот ублюдейший протокол станет распространён ещё чуть меньше.

slovazap ★★★★★
()
Ответ на: комментарий от mandala

и уж тем более не администрировали даже простенький демон аля freebsd ftp

У них поди там не сервер даже а через какой нибудь xinetd пашет.

Представляю что будет с http сервером если хотя бы 500 человек туда начнут заливать файлы сразу :) Пошли бы на вики что ли и почитали что за протокол такой http ;)

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__

Представляю что будет с http сервером если хотя бы 500 человек туда начнут заливать файлы сразу

Как ж бедный фейсбук справляется-то.

kirk_johnson ★☆
()
Ответ на: комментарий от targitaj

Да. Было бы круто такое с ftp сделать, НО ВЕДЬ ОН НЕ СКАЛИРУЕТСЯ АХАХАХАХА. Простите.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от slovazap
  • во-первых – не сталкивался, поверю на слово;
  • во-вторых – боль и печаль, да, жуткое легаси;
  • в-третьих – если админ не рукожоп и прикрутил валидный сертификат от тех же LE или нормальный самоподписанный то даже с последней файлзиллой проблем нет (которая теперь говняные сертификаты отвергает безоговорочно);
  • и не говори – не зря все нормальные люди рядом с файлом как раз и выкладывают контрольные суммы сразу.

заставит как можно больше народу убить FTP сервера которые у них всё ещё работают

Ой не думаю. Если кто сегодня и использует FTP – то обычно это осознанное решение. А всякие разные давно сидят в амазонах разномастных и прочих облаках. И там их тоже имеют порой, ага.

поломают и нашпигуют троянами

Это касается любых сетевых ресурсов, все не обслуживаемое ломают, роняют или засоряют (форумы мертвые с зомбаками-ботами видел?).

mandala ★★★★★
() автор топика
Ответ на: комментарий от targitaj

Хз о чём ты, в последний раз через Атлантический океан перелил 20+ терабайт дня за 3-4, с перепроверками.

Чей-то кажется что вы нас обманываете. Или у вас отдельный гигабитный канал через атлантику ?

anc ★★★★★
()
Ответ на: комментарий от mx__

Я использую как демон в лоб. Ну и это простая тупая хренотень, а не полноценный сервер. Для более-менее серьезных задач как раз сабж уже используется.

Ну и как http поможет в заливке, кстати?

mandala ★★★★★
() автор топика
Ответ на: комментарий от kirk_johnson

LOR поддерживает gravatar, внезапно. Или ты про что?

mandala ★★★★★
() автор топика
Ответ на: комментарий от mx__

А, про http ты наоборот. А как тогда по твоему работают сотни веб-приложений с заливкой? В том числе чистые файлопомойки?

mandala ★★★★★
() автор топика
Ответ на: комментарий от kirk_johnson

Как ж бедный фейсбук справляется-то.

Написал бы ютуб я бы еще понял, а рожа книга ... при том что сервак то там не один если что.

mx__ ★★★★★
()
Ответ на: комментарий от mandala

Да любой шаред-хостинг сидит на ФТП, а они не собираются подыхать в обозримом будущем.

И вы это одобряете?

Какой? Вот я решил что FTP труп и его надо закопать. На что мне мигрировать?

Например SFTP не подойдет?

anc ★★★★★
()
Ответ на: комментарий от mandala

Там жесткие ограничения на объем кстати. Да и по единовременному коннекту там тоже облом.

P.S. Не удивляюсь что мой вопрос про ФХП в игноре :) Правда поди никто не знает что это такое, ну хоть бы погугли :)

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 2)
Ответ на: комментарий от anc

И вы это одобряете?

Если прочитаешь полностью ветку, то увидишь моё видение будущего (спойлер: контейнеры во все поля).

Например SFTP не подойдет?

В текущем инструменте нет такой гибкости как у proftpd. А альтернативу мне так ни кто и назвал (потому что её нет).

mandala ★★★★★
() автор топика
Ответ на: комментарий от mx__

Ограничения на скорость и на объемы выставляют на халяве или на относительно дешёвых тарифах – ну тупо же иначе ни каких физических мощностей тогда не хватит, а не ограничения протокола. Сам себе ты можешь все это убрать, если хостинг и канал выдержат.

P.S. Не удивляюсь что мой вопрос про ФХП в игноре :) Правда поди никто не знает что это такое, ну хоть бы погугли :)

Я что-то пропустил, яннп.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

А чем ssh не устроил? Зарезать им шелл и пусть гоняют файлы под своей учёткой. Под все платформы уже давно софт есть, во всяких андроидах вообще из коробки в популярных фм.

InterVi ★★★★★
()
Ответ на: комментарий от mandala

Такой бородатый дядька, а про гугл не слышал. Веб-морд под файлопомойки уже дофига написали, на самых разных стеках.

InterVi ★★★★★
()
Ответ на: комментарий от InterVi

Тем что на одного юзера ssh сейчас можно плодить множество юзеров ftp уже с своими правами. Это ограничение для ssh инструмента в продакшене, по крайней мере тех, которые я знаю. Иного инструмента для удобного руления ssh аналогичного по фичам proftpd ни кто не предлагает.

Еще раз – я не принципиально держусь за FTP. Я говорю что по большому счету альтернативы нет, клоуды всякие обычно оверхед, а sftp – недостаточно по удобству инструментов администрирования (клиентам пофиг, просто в десктопном клиенте указать протокол другой, все равно настраивают в большинстве по скриншотам).

mandala ★★★★★
() автор топика
Ответ на: комментарий от InterVi

Ага, и одна хуже другой, если ты про веб-морды файловые менеджеры. Ппро «клоуды» уже вспоминали – вот они еще более-менее могут быть альтернативой.

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от overmind88

А что не будет тормозить на нескольких десятков гигов с кучей файлов по несколько метров?

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Тебя в планах еще не было, а твоя мамка еще в дочки-матери играла.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Зарегся и заигнорь, либо не ной.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Эээ… Вообще-то это уже мейнстрим, но не для всяких вропрессов, в для вещей посерьезнее. Кубернейтес, докер, шмокер, вот это всё.

mandala ★★★★★
() автор топика
Ответ на: комментарий от targitaj

Кстати, сам удивился. Но там было много хорошо сжимаемых файлов, которые лежали не сжатыми...

И все равно «не верю». Две виртуалки на одном хосте HDD 7200 rpm, хост не загружен, просто «поддиванный», тестовый файл из /dev/zero по scp между виртуалками(qemu-kvm qcow2 лежат на ext4) 63.7MB/s. Это чуть больше чем вы описали «Через атлантику» за четыре дня.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от mandala

Например SFTP не подойдет?

В текущем инструменте нет такой гибкости как у proftpd. А альтернативу мне так ни кто и назвал (потому что её нет).

Всю ветку не читал, не интересно стало. Если не тяжело накиньте ссылок где было про гибкость.
Спасибо.

anc ★★★★★
()
Ответ на: комментарий от kirk_johnson

Аватарка одна, а товаров 15000ю И кто, то написал код загрузки аватарки. Есть готовый код загрузки файлов?

dem ★★
()
Ответ на: комментарий от PPP328

в гугле забанили? самое быстрое же netcat, но не самое удобное. Я проверял.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.