LINUX.ORG.RU

Критическая уязвимость CVE-2019-12815 в ProFTPd

 , ,


1

0

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от anonymous

Что не так? Или ты как и остальные, каталог с порнушкой в облако синкаешь?

Mr_Alone ★★★★★
()
Ответ на: комментарий от targitaj

кстати а FTP то может быть в поделиях этих контор ещё и дырявый. зато «работает везде»

example_cat
()
Ответ на: комментарий от mandala

Какой? Вот я решил что FTP труп и его надо закопать. На что мне мигрировать?

Можно поднять кластер CEPH. И мониторить Прометеем. Для проверок использовать Конкурс, а для развертывания — Арго. Всё это под кубернетесом конечно. Заодно можно использовать айстио, чтобы узнать где это тормозит. Труп фтп, труп давно, оставьте его в покое.

ugoday ★★★★★
()
Ответ на: комментарий от dem

Можно. Но нет удобного инструмента. В я про что.

mandala ★★★★★
() автор топика
Ответ на: комментарий от ugoday

Даааааа… Ты предлагаешь сейчас вместо машинки-каблучка использовать целую автоколонну разномастной техники.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mx__

при том что сервак то там не один если что

Это называется «балансировка нагрузки». И это одна из причин, почему FTP выкинули. Потому что FTP не скалируется :)

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

А это чистая коммерция – что дороже: потерять бабло на факапе или купить ресурсы для резервирования.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

Хотя ладно, если купить три сервака, то можно влепить haproxy и сделать sticky sessions.

kirk_johnson ★☆
()
Ответ на: комментарий от Deleted

Да в этих интернетах фиг поймёшь кто хитро троллит, а кто — реально идиот.

P.S. Я ещё забыл ELK упоминуть для логгирования. Вот без OpenTracing ещё можно прожить (хотя я бы и его включил), а без ELK никуда. И тут пора перейти от технических вопросов к организационным: каков состав и количество команды для развёртывания и сопровождения нашей замены ftp серверу. Я думаю будет достаточно 3-х специалистов + техлид + прожект менеджер + скрам мастер.

P.P.S. Озвученное выше окружение вполне имеет смысл. Не шучу. Весь вопрос в масштабе. И что-то мне подсказывает, что 99.95% всех FTP серверов мира никогда не дорастёт до размеров, где эта замена имела бы смысл.

ugoday ★★★★★
()
Ответ на: комментарий от targitaj

ты вообще о чём? Мы про rsync -e ssh

Я о том, что протокол показывает низкую производительность при передаче больших файлов! Почему ты переспрашиваешь одно и то же?? rsync только сделает ещё медленнее из-за перепроверок!

fehhner ★★★★★
()
Ответ на: комментарий от kirk_johnson

По ссылке вполне нормальные истории вида 1-2ТБ данных из 5М мелких файлов, и оно в какой-то момент встаёт колом. Тру стори.

Лучше расскажи, с каких пор в генточке 20М файлов? Сколько они места занимают? Как быстро синкает изменения? Сколько изменения весят и сколько по факту файлов поменялось?

Mr_Alone ★★★★★
()
Ответ на: комментарий от Mr_Alone

По ссылке вполне нормальные истории вида 1-2ТБ данных из 5М мелких файлов, и оно в какой-то момент встаёт колом. Тру стори.

Ну возможно до тебя дойдет, что давать ссылки на поиск в гугле — плохая затея, если ты хочешь предметного разговора.

Лучше расскажи, с каких пор в генточке 20М файлов?

Люблю эту лоровскую традицию разговаривать самому с собой.

kirk_johnson ★☆
()
Ответ на: комментарий от anc

На предыдущей работе попытались сделать новый шаред хостинг (с nginx и контейнерами), выкатили тестовую версию БЕЗ ftp, только sftp + файлменеджер-вебморда. Клиенты выразили недоумение отсутствием ftp. «Обломись бабка, мы на корабле» (C)

anonymous
()
Ответ на: комментарий от mandala

Зачем нам «автоколонна разномастной техники» когда мы можем построить свой автозавод и выпускать любую машину под текущую задачу и потребность?

ugoday ★★★★★
()
Ответ на: комментарий от kirk_johnson

Прекрасная новость. А сколько времени ошибка должна находиться в конвейере до её опубликования? Мне казалось, это что-то порядка 90 дней, а тут уже почти год прошёл.

den73 ★★★★★
()
Ответ на: комментарий от anonymous

Ты просто ничего не понимаешь в сортах шаред хостингов.

crutch_master ★★★★★
()
Ответ на: комментарий от ugoday

Да в этих интернетах фиг поймёшь кто хитро троллит, а кто — реально идиот.

Я повелся почти :D.

mandala ★★★★★
() автор топика
Ответ на: комментарий от alpha

Они оперативно наложили патч (есть ссылка в новости) и выкатили обновление. Остальные или слоупоки, или дрочат на политику обновлений.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Я даже не стал до такого банального аргумента спускаться, если большинство хейтеров с FTP только с анонимного через http-вебморду скачивали файлики и больше с протоколом дела не имели. (т.е. они и не имели с фтп дело, просто заходили по http на тот же сервак, где крутится фтп)

mandala ★★★★★
() автор топика
Ответ на: комментарий от ugoday

И руду добывать сами! Ну ты понял про что я.

mandala ★★★★★
() автор топика
Ответ на: комментарий от crutch_master

А клиенты хотят фтп! Вынь да положь! Или уйдут просто.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

А, ну это не значит что «кроме Fedora». Это просто в Fedora уже выкатили фикс. Если не обновиться то уязвимость все равно есть.

Я думала может в Fedora с самого начала этот модуль не поставлялся.

alpha ★★★★★
()
Ответ на: комментарий от no-such-file

Зомби, ага. И их миллионы.

mandala ★★★★★
() автор топика
Ответ на: комментарий от alpha

Да, надо бы поправить тест, но я вчера на бегу писал новость, а сегодня урывками комментирую.

mandala ★★★★★
() автор топика
Ответ на: комментарий от no-such-file

Не корректно изначально фраза построена. С помощью FTP тоже нельзя ни чего загрузить, нужен клиент и сервер, а не просто сферический протокол в вакууме.

mandala ★★★★★
() автор топика
Ответ на: комментарий от no-such-file

Я, кстати, по несколько раз в день загружаю файлы по http вообще из консоли.

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Mr_Alone

Оно начинает висеть после 150-200 гигов.

А мужики-то не в курсе. Как пример, у меня почтовый maildir в разы больше. Не замечал что бы оно висло при переливе.

anc ★★★★★
()
Ответ на: комментарий от kirk_johnson

Это называется «балансировка нагрузки». И это одна из причин, почему FTP выкинули. Потому что FTP не скалируется :)

Почему нельзя немного подумать ? а ? Балансировку нагрузки как раз придумали из ущербности протокола ХТТП а не от хорошей жизни. Будут тебе по сайтам лазать если все тормозит ? Вы так это написали как будто это какой то плюс :(

А ФТП что ? Ну будет 1000 человек тянуть с разной скоростью файлы, отваливаться и потом продолжать тянуть и что ? Это ни кого не парит.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Почему нельзя немного подумать ? а ? Балансировку нагрузки как раз придумали из ущербности протокола ХТТП а не от хорошей жизни. Будут тебе по сайтам лазать если все тормозит ? Вы так это написали как будто это какой то плюс :(

Гм... Когда у тебя закончатся мощности сервера, что ты будешь делать?

А ФТП что ? Ну будет 1000 человек тянуть с разной скоростью файлы, отваливаться и потом продолжать тянуть и что ? Это ни кого не парит.

Парит, потому что FTP практически не умеет в докачку xD

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Гм... Когда у тебя закончатся мощности сервера, что ты будешь делать?

Они ни когда не закончатся, просто клиентам будет все меньше и меньше отдавать. В pure-ftpd даже есть такой параметр не отдавать кому либо если нагрузка сервака больше такой то величины.

Парит, потому что FTP практически не умеет в докачку xD

Это какой же фтпд не может отдавать с конкретного байта ?

mx__ ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.