В ftp-сервере ProFTPD выявлена (https://tbspace.de/cve201912815proftpd.html) опасная уязвимость (CVE-2019-12815 (https://security-tracker.debian.org/tracker/CVE-2019-12815)), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен (https://nvd.nist.gov/vuln/detail/CVE-2019-12815) уровень опасности 9.8 из 10, так как она может примеряться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP.
Уязвимость вызвана (http://bugs.proftpd.org/show_bug.cgi?id=4372) некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной (https://www.opennet.me/opennews/art.shtml?num=42015) в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен (https://github.com/proftpd/proftpd/pull/816) только несколько дней назад.
Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. Исправление доступно в виде патча (https://github.com/proftpd/proftpd/pull/816). В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora (https://bodhi.fedoraproject.org/updates/?releases=F30&type=s...) и остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-12815), SUSE/openSUSE (https://bugzilla.suse.com/show_bug.cgi?id=1142281), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1732367) (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy).URL: https://tbspace.de/cve201912815proftpd.html
Новость: https://www.opennet.me/opennews/art.shtml?num=51158
Бесполезный комментарий про устаревший протокол, не имеющий отношения к делу.
Какую альтернативу предложите?
PureFTPD
Сервер, конечно, хороший, но, думается, имелась ввиду альтернатива протоколу
sftp используй, не дурей.
А анонимную загрузку там как сделать?
WebDAV можно анонимам раздать или HTTP API
К WebDAV под венду нормальный клиентов нет, так чтобы из коробки или хотя бы отдельно не искать по сомнительным помойкам с кряками.
S3 https://min.io/download#/windows ?
Не знаю что это но клиента под венду там не видать.
Я не пойму чем вам браузер не подходит зашли обычным PUT и все.
Написать формочку может каждый школьник, студент (я уже не говорю о диванных специалистах с 20 летнимжопытом).
Не мне.
Я не умею формочку с пут, и этот пут там ещё кто то должен корректно отработать.
Syncthing https://syncthing.net/images/screenshot.jpg
Это не похоже на вебдав клиента под венду :)
Если мне память не изменяет, винда сама аж из коробки умеет проводником ходить в WebDAV.
Что такое смутное... Там раньше была проблема с докачкой и ограничение на размер файла не болшье 2Gb. Уже исправили? А так, без проблем плагины к командерам делали свое дело.
Умеет, но:
1. дефолтный лимит размера файла - 50МБ
2. лимит размера файла можно увеличить до 2гб через реестр
3. оно качает файл целиком во временную папку и только потом отдаёт хэндл для запросившего приложения
4. "малость" глючная реализация, настолько что пришлось nginx обкладывать костылями.Если интересно подобробнее читай тут: http://netlab.dhis.org/wiki/ru:software:nginx:webdav
вы так говорите, как будто их под невинду естьпричем ищи, не ищи - одни недоделки и недоразумения.
Поди fuse+curl получше будет, хотя наверное не слишком удобно.
> Поди fuse+curl получше будет, хотя наверное не слишком удобно.я пользую (вынужденно) davfs2 для (не)дружбы с mailru - боль, страдания.
Начиная с того что оно single-threaded и заканчивая банальным неумением отмонтировать долго висевшую шару (что особенно прекрасно в эпоху systeм-даунов, сервер может перезагрузиться примерно никогда)с виндой оно как-то попроще будет (хотя таки да- я бы не стал для нее поднимать этот сервис на nginx)
Попробуй киалив включить, может поможет.У меня есть отдельно стоящая машина с вендой которой надо бы давать доступ к шаре с семейными фотками, и чтобы туда посторонние не лазали тоже надо.
nginx всё равно там есть.
Поэтому вебдав самое простое и прозрачное что получилось.
Будь там фря/линукс я бы просто sshfs примонтировал.
Простите. Вы на виднде только играете, или ещё бывает, что администрируете её? Вы в корне ошибаетесь. Я на винде стандартными её средствами цепляюсь к яндекс диску по webdav, всё прекрасно работает. Не сочиняйте.
> Простите. Вы на виднде только играете, или ещё бывает, что администрируете её?
> Вы в корне ошибаетесь. Я на винде стандартными её средствами цепляюсь
> к яндекс диску по webdav, всё прекрасно работает. Не сочиняйте.И файлы больше 2гб передаются в обе стороны? Встреонным вебдавом?
Я это тестил на вин7 и 2k8r2, может и допилили.
> А анонимную загрузку там как сделать?Тебя давно не DoSили, забивая диск твоей анонимопомойки под завязку?
через https
речь о протоколе
Ааа, это те, кто закрывают уязвимости закрытием issues? https://github.com/jedisct1/pure-ftpd/issues/106
Через браузер и пару скриптов на вебсервере, если нужна возможность аплоадить.
Гений, вместо использования протокола созданного специально для передачи файлов использовать костыли ещё более сомнительной эффективности.
На самом деле протокол так себе... Возня с портами, шифрование в виде костыля, однопоточность и т.п.
Другое дело, что безусловно лучшего никто не смог предложить за все это время.
Люди пользуются. Работает ведь.
Так смотря для чего.
Скачивать всяко удобнее по хттп, листинг директорий у всех вебсерверов из коробки.
А заливать - не слишком часто надо.
а если нужна возможность аплоадить хотя бы с примерно тем же удобством что позволяет банальный cli ftp клиент (то есть хотя бы видеть прогресс-индикатор) - то пара скриптов превращается, превращается - в элегантную дыру, требующую, внезапно, модификации серверного кода, хостинга нетривиального (и уже разок поломанного, правда, беда, как обычно, в пользователях) скриптового bloatware и т д - потому что браузеры ниасилили даже того, что умел какой-нибудь ncftp прошлого века. Макаки слишком торопились за новым фуфлом, доделывать старое им было некогда.Но ftp, конечно же, немодно-немолодежно, и, конечно же, очень небезопасТно.
интересно - а зачем нужна возможность аплоадить именно анонимно?
анонимы не засрут весь сервер чем попало?
Так можно не всех туда пускать
Это как это — не всех пускать? Не допустим дискриминации анонимов!
не, у них тоже ftp уже немодно. В 2012м - да, пара каких-то недовзломанных игрушек, чья-то шифрованная порнуха и еще что-то по мелочи образовались за пару недель (сервер был не совсем сервер, и места на том диске, увы, на больше не хватило). В 15м уже ничего кроме вялых попыток поломать сам сервис.Только почему обязательно - анонимно? ftpd вполне понимает персонализированный доступ, даже с возможностью контроля оного самим пользователем. С http - все те же проблемы с докачкой, максимальным размером, прогресс-индикатором и т д, плюс обеспечение доступности понаапложеного и при этом не превращения сервера в варезосвалку - на тебе, а не встроено в сам сервис.
если не анонимно, то sftp - вполне себе замена ftp
и легким движением я получаю открытый порт внутри твоего защищенного сегмента (разумеется, ты не вспомнил об этом, когда настраивал мне доступ).
sftp _никогда_не_был_ предназначен для недоверенных (совершенно необязательно при этом - анонимных) пользователей, поскольку является расширением ssh, это _шелл_ на твой хост, умение передавать файлы в нем пришито грубыми стежками для упрощения его основной задачи. Костыли и подпорки, пона%$еверченные поверх в попытках как-то ограничить возможности только этой передачей - вообще слова доброго не стоят.И не говоря уже о том, что сам openssh имеет длинный шлейф уязвимостей и разрабатывается полными неадекватами.
Длинный след - там наследие.
Сейчас он вполне в достойном виде, в отличии от того что было 20 лет назад когда его открыли.
> Длинный след - там наследие.
> Сейчас он вполне в достойном виде, в отличии от того что было
> 20 лет назад когда его открыли.20 лет назад была _одна_ уязвимость за все время существования версии 1.0 - и она была практически в каждой программе, использующей syslog() - который оказался дыряв by design.
Все остальные - принесены именно новыми-модными разработчиками.
Включая совсем феноменальную с roaming-кодом, который написать - забыли, но дыру - не забыли.И не забывая весь миллион связанных с openssl, без которого оригинал обходился, поскольку ему не нужен ssl.
Ты не видел тот код и не знаешь что там было.
Опенссл не обязателен уже минимум год как чтобы собрать и работало, да и не было с ним дыр, от туда просто алгоритмы юзались.
> Ты не видел тот код и не знаешь что там было.я в отличие от тебя как раз видел тот код, где все строки были вручную посчитаны - ни одной strncpy (потому что работать могло на юниксах, а не только в новом-стандарте)
С единственной ошибкой на единичку, скорее всего - unexploitable. И вот той, второй, где от системной функции никто не ожидал подвоха.
Ту мерзость, которая сейчас - тоже видел, выковыривая из нее "roaming". Оп..х..льный код. Выкрасить и выбросить, это бесполезно чинить.> Опенссл не обязателен уже минимум год как чтобы собрать и работало, да
правда будет работать полтора шифроалгоритма - наиболее сомнительные из всех, ага.
"как минимум год" очень забавно слышать от продукта, захваченного в 2002м.> и не было с ним дыр, от туда просто алгоритмы юзались.
дебиановскому майнтейнеру это расскажи. "просто алгоритмы", ага, дыры ж они не в просто алгоритмах, а где-то в thin air.
Ты просто не видел современные всякие аплоадеры через браузер.
На вирустотал чтоли сходи посмотри.
ftp изначально проектировался только для работы напрямую, с натом у него проблемы. Протокол устарел до того, как ты первый раз сел за комп. За последние лет 15 я уже и не видел использования этого архаизма, есть sftp и с ним все хорошо.
> ftp изначально проектировался только для работы напрямую, с натом у него проблемы.у sip и h323 с натом куда большие проблемы - давайте откажемся от ip-телефонии потому что, видите ли, у рукожопиков-современных натописателей - "проблемы".
> есть sftp и с ним все хорошо.
угу, с обходом файрволов особенно хорошо - причем без знания об этом владельца. реееедкая ips умеет его на этом поймать.
Блин, на многих Web хостингах не дают шелл доступ - это слишком круто, хватит с вас и ftp. А ты говоришь не видел 15 лет, есть и достаточно много.
> Блин, на многих Web хостингах не дают шелл доступ - этоон поди крутой, у него не вебхостинги, у него цельная vps на shittykvm.
жаль что то что на ней крутится, не нужно совершенно никому.
> Блин, на многих Web хостингах не дают шелл доступ - это слишком круто, хватит с вас и ftp. А ты говоришь не видел 15 лет, есть и достаточно много.Ну я примерно столько лет и не видел шаред-хостинги, и искренне не понимаю, кому они сейчас могут быть нужны. Впрочем, даже тогда шелл давали.
Шелл давали и при этом сильно урезали доступа. Ты не увидишь ни один шелл хостинг из дефолтной инсталляции.
vsftpd?
Сделай форму регистрации и и отключи анонимный одступ ;)
Админам локалхоста вобще ничего, кроме стима и wino не нужно, это мы выяснили давно уже.
proftpd, pureftpd, vsftpd вот никогда их не различал.
даже не помню, что там стоит, то ли proftpd, то ли pureftpd.
vsftpd - вэри секурити - норм, остальное ре-шето
vsftpd вроде бы как самый простой, самый лёгкий, а чем меньше лишних возможностей - то и меньше уязвимостей я так считаю.
Если для секурности нужно пользователей виртуальных заделать то в PURE это попроще чем в VS.
Но если просто обычный анонимус то да штатного vs хватает.
CVE-2015-1419 очень секурно, да.
багтрекер глянь, решeто..
Можете посмотреть на википедии ихние отличия и уже выбирайте что вам больше подходит
> proftpd, pureftpd, vsftpd вот никогда их не различал.У ProFTPD конфиг в стиле Apache, с тэгами.
> У ProFTPD конфиг в стиле Apache, с тэгами.А у pureftpd вообще нет конфига. Но какая разница, всё равно они все не нужны.
Они ОЧЕНЬ помогают, в случае тонкой настройки папок пользователя и распределения прав пользователей на FTP
*о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад*Хотел перейти на этот сервер но больше не хочу и не захочу
vsftpd наше всё
че прикольный протокол .. был в конце 90-х начале 2000. сколько серваков было через них разными хак группами почищено. то и дело всплывали новости о взломах через фтп. хотя проблема не в протоколе а в его эксплуатации. а так да sftp самое оно. но вот сейчас наверно только используется для личных файлохранилищ, да внутренних обменников файлами за натом или вообще без сети. ну еще файлопомойки остались. хотя как то на асусе(роутер) встретил открытый порт фтп. причем самое смешное со стандартным входом типа админ)))
В конце 90ых уже многие сидели за натом и ftp уже был архаизмом.
многие , но не все. и часто конторки с игрухами или софтом оставляли 22 порт наружу по умолчанию. некоторые ребята валили эти конторки потом очень красиво. с полным обналичиванием исходников на всяких варез свалках. некоторые правда пытались схитрить и настроить фтп на какой нибудь 2200 порт( к примеру) , но для nmap'a это как понимаете не вопрос. и в итоге тоже самое. хотя если хорошо настроить фтп ничего подобного не произошло бы. единственная возможность дыры - это открытая передача пароля. при прослушке все вылезает мгновенно. из-за этого этот протокол и сочли устаревшим и небезопасным. а сам протокол хорош и удобен. просто нужен sftp.
> динственная возможность дыры - это открытая передача пароляДа нет же. Главная проблема это два порта и прочая фигня.
Кстати, при чем тут 22/tcp(ssh)? 20/tcp — ftp-data и 21/tcp — ftp
опечатка. привычка. на 22 порт)) а вообще какая разница какой порт, главное передача пароля незашифрованным. это главная проблема. принцип работы сетей пока никто не отменял и широковещательные опросы остались. вот если бы посылать пакеты по строго отведенному маршруту и при этом на время передачи сделать запрет подключения к этому маршруту, то да . но увы это поставило бы всю сеть в коллапс.))
В Linux два порта элементарно разруливаются и при Nat через RELATED критерий iptables. Хоть для клиента хоть для сервера.
> В Linux два порта элементарно разруливаются и при Nat через
> RELATED критерий iptables. Хоть для клиента хоть для сервера.эта небольшая проблема уже успешно устранена - нет больше никакого iptables. deprecated и будет неминуемо окончательно выпилен через пол-годика-годик.
линуксные файрволы будут точно таким же унылым г-ном как поделки на базе pf и ipfw.
Опять твои влажные ватные мечты. Никто не собирается выпиливать iptables в ближайшие годы. Как вышел с ним RH8, так считай еще 10 лет минимум iptables будет с вами. А ты дальше выдумывай страшных врагов, которые все выпилят. Пока что все твои вангования проваливались в тот же унитаз, куда и твоя жизнь.
Иди читать особенность работы ftp, про active и passive режимы, про проблемы с натом и прочее. Глядишь станешь чуть умней моего седалища, а то пока мое седалище умней.
Мля, ну ты хам. Мной это прочитано 15 лет назад. И на моих ftp всегда работали оба режима.
> че прикольный протокол .. был в конце 70-х начале 80-х.fxd
У кого-то были иллюзии? ProFTPD всегда был дыряв, это типа как вордпресс 1.0
а вон четвертая ссылка не о том же?
https://www.opennet.me/opennews/art.shtml?num=42015
Бгы, вот сейчас в репу homebrew насуют... они proftpd юзают для хранения билдов
А зачем нужен mod_copy, что будет, если отключить?
> А зачем нужен mod_copyнизачем. Очередное поделие очередного улучшайки, которому не терпится дописаться в copyright.
> что будет, если отключить
ничего не будет, ни пользователи, ни тем более чудо-клиенты которыми они пользуются (или которые пользуют их) все равно не в курсе что это такое и как им пользоваться.
но я бы "отключал" весь этот бездарный кусок bloatware, либо pure, если у тебя есть какие-то пользователи, либо bsd ftpd, если пользователь - ты сам.
Этот модуль позволяет скопировать файл прямо на сервере. Интересная команда, жалко что дырявый.
Хотелось бы голосовалочку, очень интересно кто какой сервер использует или альтернативу этому протоколу :) Можно в коменты))
sftp, для виртуальных пользователей и форса юзера-группы при заливке на нужные на сервере mysecureshell реализующий sftp и дающий много дополнительных плюшек
> sftp, для виртуальных пользователей и форса юзера-группы при заливке на нужные на
> сервере mysecureshell реализующий sftp и дающий много дополнительных плюшекто есть еще один кривой костыль и дырявая подпорка поверх кривого костыля и дырявой подпорки.
Лишь бы проклятущим ftp не пользоваться, да?
Малыш, иди читать про отличия ftp и sftp. Про безопасность, про ключи вместо паролей, про проблемы ftp и его разные режимы. А то ты только здесь постоянно чушь несешь, при чем откровенную чушь, такое впечатление, что ты обо всем слышал только когда папка твой, по пьяни, с коллегами разговаривает, а ты вместо деланья уроков под дверью послушиваешь.
малыш здесь ты. Ни про s/key, ни про tls auth отдельный от data link, ни про то, что "безопастность" без уточнения кому и от кого вообще мало нужна в реальном мире, ни про то что "проблемы" привнесенные кривыми натами решены всеми вменяемыми системами двадцать лет назад, и те же самые проблемы есть (и не решены а усугублены, потому что время вменяемых давно прошло) в том же sip - ты явно не слышал, но хамишь взрослым, когда они разрушают твой мирок детских фантазий.Про очевидные дыры by design у твоего любимого фуфла - тоже не слышал, а своей головенки на плечах, разумеется, нет.
За гибкость, как и в случае с exim, приходится платить. Не нужна гибкость - ставь vsftpd (postfix) и радуйся жизни.Удивляет тот факт, что патч вышел почти год спустя. Я общался с автором в группе рассылки и он очень оперативно отвечал
> vsftpdШило на мыло. Забудь ты уже этот архаизм.
Ну и чем уж так безопаснее sftp чем ftps ? Нормальный протокл таки ftp - отказываться от него просто так смысла не вижу.
Ты канал данных только не забудь пошифровать, ага. И не забудь, что у тебя passthrough отвалится.
Да у тебя ангельское предубеждение, а значит не рационально. Многие люди консервативны, и их устраивает и ftp.
> не рационально
> Многие люди консервативны, и их устраивает и ftp.Прекрасный пример рационального мышления! Увы, я и правда менее рационален: использования FTP я стараюсь избегать не только потому что либерален.
Дерьмо это как ты себя чувствуешь, а не то на что ты смотришь.
в EPEL апдейт появится через пару месяцев, как раз всякие ISPmanager с cPanel поломают (ведь панелеписатели не осилили vsftpd), а панели эти заточены под центось