Очередной удаленный DoS на Pure-FTPD

Гадом буду, читал о сабже неделю назад... блин тока в упор не помню где :[ Это... предложения типа админам... вы бы убрали это голосовало "Типа отчего ЛОР станет лучше" - ЛОР хорош в своем стихийном развитии , а замутили голосовалку на самый оперативный и компетентный источник о наличии дырок в безопасности, и именно дыр, а не способов их пропатчивания все-таки, кто потеет, тот найдет.

Странно, этот сервер раньше в дырках замечен не был.

Написано же, что "очередной" :) А вообще, прикольная, конечно дырка - такую вполне штатную ситуацию не отбетатестили...

> Когда в Pure-FTPD достигается максимально возможное количество открытых сессий (которое указано в настройках), демон pure-ftpd аварийно завершает свою работу.

Я плакаль... =)

Может кто-нибудь объяснить, как ТАКОЕ вообще может прокрасться в production-quality сервер? Или его под нагрузкой никто не гоняет?

> Странно, этот сервер раньше в дырках замечен не был.

Да пофиг. Новости "сто лет в обед" все, кому надо проапгрейдились.
Ктому же это root shell.

На www.securitylab.ru анонс 6 июля, а пофиксенная версия (1.0.19) была 20 июня. А было это изначально в рассылке pure-ftpd.

Все дружно переходим на muddleftpd (http://www.nongnu.org/muddleftpd/features.html)

Muddleftpd is a secure, lightweight and flexible FTP server originally written by Beau Kuiper. The server was designed to allow a vast number of configurations; from closely integrating with the system and using PAM to running as a non-root user with per-directory configurations. Yet it also manages to be easy to set up.

The small size of the daemon helps make it very resource efficient, yet it doesn't compromise at all in functionality. In fact it offers a number of extra features to help with security. Most noticable is the fact that unlike most FTP servers currently available the daemon has no need for root privilegdes, therefore even if the daemon is compromised a malicious user will have no elevated access.

кто-то наверно nessus на сервак с ним натравил, вот дыра и всплыла

> Все дружно переходим на muddleftpd

Долго жил он у меня, года три наверное. Неплохой сервер, но конфиг
замороченный. Слабо поддаётся скриптованию. Сейчас тестирую и смотрю
на twoftpd.

>> Все дружно переходим на muddleftpd

> Долго жил он у меня, года три наверное. Неплохой сервер, но конфиг
> замороченный. Слабо поддаётся скриптованию. Сейчас тестирую и смотрю
> на twoftpd.

Да не очень и замороченный. Скорее наоборот - всё по группам разложено - очень удобно управляться. Чем-то на самбовский конфиг похож. ;)

кому нужен удалённый DOS, когда только что вышел dosemu 1.3.1?

LMAO

> Да не очень и замороченный.

Ну вот, к примеру, надо написать скрипт добавления нового пользователя.
Всё, приехали. Без вмешательства человека с редактором ничего не
сделаешь. Это и есть зло в подобных конфигах. Сам сервер интересный и
очень гибкий, и тем более интересно его использовать для массового
хостинга, но конфиг нужно полностью переписывать для этого. Разбивать
его на логические куски, писать парсеры, потом клеить. Гиморно.