The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в ftpd из FreeBSD, позволявшая получить root-доступ при использовании ftpchroot"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в ftpd из FreeBSD, позволявшая получить root-доступ при использовании ftpchroot"  +/
Сообщение от opennews (??), 16-Сен-20, 09:29 
В поставляемом в составе FreeBSD сервере ftpd выявлена критическая уязвимость (CVE-2020-7468), дающая возможность пользователям, ограниченным своим домашним каталогом при помощи опции ftpchroot, получить полный root-доступ к системе...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53720

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +6 +/
Сообщение от Кредит (?), 16-Сен-20, 09:31 
Мощно. Но лучше поздно, чем никогда.

Вместо ftpd на всех бывших и единственном оставшемся FTP-сервере всегда крутились vsftpd.

А вот bhyve надо будет обновить. Там сказано что с root'ом в госте надо, но если гость - W2012, то там это аналогично админу?

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –7 +/
Сообщение от пох. (?), 16-Сен-20, 12:35 
> Вместо ftpd на всех бывших и единственном оставшемся FTP-сервере всегда крутились vsftpd.

то есть вместо крайне ограниченного в возможностях и вдоль и поперек изученного демона - блоатварь с ничем неподтвержденной претензией на безопасТность.
Ну да, ну да.

Белки истерички любят сами себе вырывать ямки.

P.S. отдельно рекомендую подумать, кому вообще еще есть чем, с хрена ли в принципе может НЕ выполниться команда seteuid или chdir в нормально настроенной системе, и каковы лично ваши шансы на это.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 16-Сен-20, 15:11 
Насколько понимаю, минимум два (если не все три) моих знакомых разработчика owl посмотрели vsftpd и остались довольны.  Так что можете не истерить. :)
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –1 +/
Сообщение от Михаил Петрович (?), 17-Сен-20, 00:47 
>owl

овервотч лигу разрабатывают?

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Enox (?), 17-Сен-20, 19:47 
Нет, это в Сколково разрабатывают))
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от псевдонимус (?), 16-Сен-20, 13:18 
Бихайву  похоже уделяют недостаточно внимания, а жаль. Ошибки не сказать чтоб нетривиальные. Столько лет, а гипервизор сырой.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 16-Сен-20, 17:33 
> Бихайву  похоже уделяют недостаточно внимания, а жаль.

ну а кому он нужен вообще, и сколько из них не только имеют время и вдохновение, но еще и умеют кодить?

К сожалению, сейчас увидеть фрю в виртуалке можно примерно раз в сто чаще чем виртуалку во фре. И та будет vbox, потому что установлена пять лет назад.

Я вообще не понимаю, зачем проект без ресурсов и денег тратил на это время, когда можно и _уже_было_ сделать нормальный порт xen dom0 - его два раза поднимали, и оба раза он ломался из-за обычного "stable api nonsense", потому что некому было поддерживать.

А это дало бы интеграцию в корпоративные системы, и, может быть, при большой удаче - удалось бы подвинуть оттуда часть линyпсни, за счет лучшей производительности и более удобного управления.

А так - в маргинальной ос, используемой полутора васянами, нашли проблему в маргинальной виртуализации, используемой нулем васянов. Ну и похрен.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от псевдонимус (?), 16-Сен-20, 20:10 
Потому что налимонивали на лицензию. Ксен ведь под жпл. Очевидно, что поборникам лицензионной чистоты он не интересен, как и квм, который, если мне не изменяет память, был в виде ядерного модуля.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 16-Сен-20, 21:52 
> Потому что налимонивали на лицензию.

Ну, после приключений с gcc, дуть на воду неудивительно, но вообще-то можно было и мозг использовать - что xen принадлежит вполне себе коммерческой компании, не особо топящей за шва6одку и изрядно уже от нее самой пострадавшей.

Он, собственно, лежал себе в портах, как и масса другого gpl-софта, никому не мешая. kvm был полуработающий proof-of-concept, и там не только лицензия, но и крысятник тот самый, stable api nonsense, плюс сам по себе kvm абсолютно бесполезная неудобная хрень, а тащить еще и gpl-обертки принадлежащие опять же соседним крысятникам смысла было ноль.

В результате пять лет потрачены на хрень, которой даже эмулятор vga запилить было выше человеческих возможностей - смотреть на приключения героев, сумевших установить там какую винду вслепую (даже работало) было крайне занимательно, поучительно, но совершенно непрактично.

Сейчас уже вроде бы и можно кое-как пользоваться, но все кому было надо - давным-давно просто сменили платформу.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Михаил Петрович (?), 17-Сен-20, 00:49 
>2k2д
>ftp

Вместо rsync over ssh или rsyncssl? Сурьезна?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от Аноним (4), 16-Сен-20, 09:35 
Безопасность BSD снова под угрозой!
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +2 +/
Сообщение от A.Stahl (ok), 16-Сен-20, 09:50 
Перефразируя старый анекдот:

-- Безопасная БСД.
-- Безопасная что?

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –3 +/
Сообщение от онанимуз (?), 16-Сен-20, 09:51 
а вот если бы ftpd был написан на Rust...

капча 37337 кагбэ намекает

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –2 +/
Сообщение от Аноним (17), 16-Сен-20, 10:55 
КГБ намекает.

// b.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +3 +/
Сообщение от Аноним (19), 16-Сен-20, 11:20 
Это слишком сложно для раста.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

21. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +2 +/
Сообщение от Аноним (21), 16-Сен-20, 11:44 
Раст сам за программиста решает, какие ошибки системных вызовов считать фатальными, а какие — нет?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

34. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от white master (?), 16-Сен-20, 16:16 
Если бы был написан на раст то он бы просто не работал от слова совсем. Но зато да, безопасно.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +3 +/
Сообщение от Аноним (7), 16-Сен-20, 09:55 
Ван не нравится что уязвимость выявили или о том что о ней рассказали?
Мне вот видно, что за этот год активно выявление и решение уязвимостей в БСД.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +2 +/
Сообщение от Аноним (12), 16-Сен-20, 10:30 
Будь это докер, уже бурлило бы в комментах. Местная публика такая, не мешки ворочает.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от A.Stahl (ok), 16-Сен-20, 10:46 
Может беда не в мешках, а в том, что докер в дохрена раз более востребован? Потому и бурлений больше.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от white master (?), 16-Сен-20, 16:17 
Продолжай верить в востребованность докера. Вера никогда не имела ничего общего с реальностью.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от пох. (?), 16-Сен-20, 17:36 
У него просто опечатка в слове "хайпован".

Практически ВСЕ виденные мной использования голого доскера (и изрядная часть - доскера в обертках) не имели ни малейшего смысла - все то же самое с примерно теми же трудозатратами могло быть оформлено нормальными пакетами для нормальной системы (хоть bsd)

При этом оно бы меньше жрало и меньше бы тормозило, а так же жрало бы меньше времени и ресурсов для сборки.

Но дЭффективным менеджерам нравится, а эта ваша бе-ес-де - нимодна и устарело.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –2 +/
Сообщение от Аноним (9), 16-Сен-20, 10:04 
> Проблема вызвана сочетанием ошибки в реализации механизма изоляции пользователя при помощи вызова chroot

И ни слова про докер... А, его же тут нет, вспомнил.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +2 +/
Сообщение от анонн (ok), 16-Сен-20, 12:07 
>> Проблема вызвана сочетанием ошибки в реализации механизма изоляции пользователя при помощи вызова chroot
> И ни слова про докер... А, его же тут нет, вспомнил.

Причем тут ваш дыркер? И с каких пор оно стало "механизмом изоляции"?

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –5 +/
Сообщение от notcurver (?), 16-Сен-20, 10:13 
И стоило из за такое ерунды новость писать? Будто фтп ещё активно используется. Но да будет срач на радость публике.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Аноним (12), 16-Сен-20, 10:41 
> И стоило из за такое ерунды новость писать?

Так и запишем, BSD - ерунда.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от white master (?), 16-Сен-20, 16:18 
Не получиться. Врятли даже писать умеешь.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от Аноним (52), 17-Сен-20, 10:40 
Чья бы мычала :)
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –1 +/
Сообщение от Аноним (21), 16-Сен-20, 11:46 
Ну как же — ерунда? Написать такой код для изоляции, который не только не изолирует, но ещё и рута позволяет получить, — это уметь надо!
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

28. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Аноним (28), 16-Сен-20, 13:02 
Кто активно пользуется тот пассивно обновляется.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –3 +/
Сообщение от Аноним (13), 16-Сен-20, 10:36 
Насколько я помню фряху, там был какой то левый ftpd который даже демоном работать не мог и работал только через xinetd :(
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Аноним (16), 16-Сен-20, 10:50 
Так в том и соль, если конечно я правильно понял.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +5 +/
Сообщение от _ (??), 16-Сен-20, 11:04 
Маны не читай, комменты пиши... ключ -D
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

25. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +2 +/
Сообщение от пох. (?), 16-Сен-20, 12:37 
"левой" функциональностью в _нормальной_ юникс-среде является именно умение работать ненужно-демоном (с кучей прекрасных возможностей запутаться в собственных шнурках), когда для этой цели уже существует общесистемный механизм.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

30. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от псевдонимус (?), 16-Сен-20, 13:21 
Это фича, а не баг.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

26. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –2 +/
Сообщение от rvs2016 (ok), 16-Сен-20, 12:49 
Так вместо ftpd мы же давно используем proftpd.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 16-Сен-20, 15:13 
Вот у него как раз баланс фич к дыркам исторически перекошен в другую сторону...
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 16-Сен-20, 17:38 
у него вообще дыра на дыре дырой погоняет - но зато "pro", пипл любит все "pro".

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 16-Сен-20, 18:30 
Ну да, proftpd то ещё решeто в бытности.
Но зато на нём можно творить то, что на всяких прочих без костылей не сделаешь никода.
Шаред хостинг кластерный например разрулить для клиентов единой точкой входа.
И SFTP/SCP ещё к этому сверху навесить, не давая доступа к системному sshd.
Авторизацию из базы данных.
И т.п.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –1 +/
Сообщение от Аноним (31), 16-Сен-20, 14:15 
freebsd-update fetch install
Looking up update.FreeBSD.org mirrors... 3 mirrors found.
Fetching metadata signature for 12.1-RELEASE from update1.freebsd.org... done.
Fetching metadata index... done.
Fetching 2 metadata patches.. done.
Applying metadata patches... done.
Inspecting system...


done.
Preparing to download files... done.
Fetching 26 patches.....10....20... done.
Applying patches... done.
Fetching 2 files... . done.
The following files will be updated as part of updating to
12.1-RELEASE-p10:
/bin/freebsd-version
/boot/kernel/if_ure.ko
/boot/kernel/kernel
/boot/kernel/linux_common.ko
/boot/kernel/vmm.ko
/rescue/[
/rescue/bectl
/rescue/bsdlabel
/rescue/bunzip2
/rescue/bzcat
/rescue/bzip2
/rescue/camcontrol
/rescue/cat
/rescue/ccdconfig
/rescue/chflags
/rescue/chgrp
/rescue/chio
/rescue/chmod
/rescue/chown
/rescue/chroot
/rescue/clri
/rescue/cp
/rescue/csh
/rescue/date
/rescue/dd
/rescue/devfs
/rescue/df
/rescue/dhclient
/rescue/disklabel
/rescue/dmesg
/rescue/dump
/rescue/dumpfs
/rescue/dumpon
/rescue/echo
/rescue/ed
/rescue/ex
/rescue/expr
/rescue/fastboot
/rescue/fasthalt
/rescue/fdisk
/rescue/fsck
/rescue/fsck_4.2bsd
/rescue/fsck_ffs
/rescue/fsck_msdosfs
/rescue/fsck_ufs
/rescue/fsdb
/rescue/fsirand
/rescue/gbde
/rescue/geom
/rescue/getfacl
/rescue/glabel
/rescue/gpart
/rescue/groups
/rescue/gunzip
/rescue/gzcat
/rescue/gzip
/rescue/halt
/rescue/head
/rescue/hostname
/rescue/id
/rescue/ifconfig
/rescue/init
/rescue/ipf
/rescue/iscsictl
/rescue/iscsid
/rescue/kenv
/rescue/kill
/rescue/kldconfig
/rescue/kldload
/rescue/kldstat
/rescue/kldunload
/rescue/ldconfig
/rescue/less
/rescue/link
/rescue/ln
/rescue/ls
/rescue/lzcat
/rescue/lzma
/rescue/md5
/rescue/mdconfig
/rescue/mdmfs
/rescue/mkdir
/rescue/mknod
/rescue/more
/rescue/mount
/rescue/mount_cd9660
/rescue/mount_msdosfs
/rescue/mount_nfs
/rescue/mount_nullfs
/rescue/mount_udf
/rescue/mount_unionfs
/rescue/mt
/rescue/mv
/rescue/nc
/rescue/newfs
/rescue/newfs_msdos
/rescue/nos-tun
/rescue/pgrep
/rescue/ping
/rescue/ping6
/rescue/pkill
/rescue/poweroff
/rescue/ps
/rescue/pwd
/rescue/rcorder
/rescue/rdump
/rescue/realpath
/rescue/reboot
/rescue/red
/rescue/rescue
/rescue/restore
/rescue/rm
/rescue/rmdir
/rescue/route
/rescue/routed
/rescue/rrestore
/rescue/rtquery
/rescue/rtsol
/rescue/savecore
/rescue/sed
/rescue/setfacl
/rescue/sh
/rescue/shutdown
/rescue/sleep
/rescue/spppcontrol
/rescue/stty
/rescue/swapon
/rescue/sync
/rescue/sysctl
/rescue/tail
/rescue/tar
/rescue/tcsh
/rescue/tee
/rescue/test
/rescue/tunefs
/rescue/umount
/rescue/unlink
/rescue/unlzma
/rescue/unxz
/rescue/unzstd
/rescue/vi
/rescue/whoami
/rescue/xz
/rescue/xzcat
/rescue/zcat
/rescue/zdb
/rescue/zfs
/rescue/zpool
/rescue/zstd
/rescue/zstdcat
/rescue/zstdmt
/sbin/dhclient
/usr/include/netinet/sctp_structs.h
/usr/include/netinet/sctputil.h
/usr/lib/debug/boot/kernel/if_ure.ko.debug
/usr/lib/debug/boot/kernel/kernel.debug
/usr/lib/debug/boot/kernel/linux_common.ko.debug
/usr/lib/debug/boot/kernel/vmm.ko.debug
/usr/lib/debug/sbin/dhclient.debug
/usr/lib/debug/usr/libexec/ftpd.debug
/usr/libexec/ftpd
/usr/src/libexec/ftpd/ftpd.c
/usr/src/sbin/dhclient/options.c
/usr/src/sys/amd64/vmm/amd/svm.c
/usr/src/sys/amd64/vmm/amd/vmcb.h
/usr/src/sys/amd64/vmm/intel/vmx.c
/usr/src/sys/compat/linux/linux_emul.c
/usr/src/sys/conf/newvers.sh
/usr/src/sys/dev/usb/net/if_ure.c
/usr/src/sys/netinet/sctp_input.c
/usr/src/sys/netinet/sctp_output.c
/usr/src/sys/netinet/sctp_pcb.c
/usr/src/sys/netinet/sctp_structs.h
/usr/src/sys/netinet/sctputil.c
/usr/src/sys/netinet/sctputil.h
Installing updates... done.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +1 +/
Сообщение от Аноним (42), 16-Сен-20, 18:55 
Хорошо что FTP умер и нигде не используется :))
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 16-Сен-20, 19:46 
Хрен там, а не умер.
На шаред хостингах сплошь и рядом.
В разновидностях типа FTPS в т.ч., которые ещё большая беда через файрволы, чем сам FTP.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  –1 +/
Сообщение от пох. (?), 16-Сен-20, 22:00 
> В разновидностях типа FTPS в т.ч., которые ещё большая беда через файрволы, чем сам FTP.

я тут, кстати, захотел было предоставить гражданам ftps, тем кто неспособен использовать opie по причине винды головного мозга.

Выяснилось пренеприятное: для него никто и никогда не написал ни одного нормального клиента, ну то есть вот вообще. (Под нормальным понимается умеющий хотя бы CCC, а в идеале еще и не шифровать то что в шифровании вообще не нуждается, ломая sendfile и пожирая процессор.)
Причем в серверах все есть и работает.

Едиственный же клиент - lftp. Ну это во-первых "русские делали", во-вторых универсальный комбайн, который просто не может работать хорошо (в том числе и потому что подменяет прямую реализацию собственным альтернативным умствованием), да еще и с настройками через анус.

С линуксным контреком договориться у него при этом получается через раз, причину я так и не выяснил, но, по ощущениям - он сам по себе делает что-то на редкость криво.

Хотя, казалось бы, при наличии готовой openssl - задача попатчить любой старинный ftp - на два часа хорошему разработчику.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 16-Сен-20, 23:43 
Не, ну гражданам файлзиллы хватит. Под любую платформу.
А вот для системных применений я можно сказать даже и не искал... проще сразу SFTP или SCP.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 17-Сен-20, 12:57 
> Не, ну гражданам файлзиллы хватит.

у граждан с файлзилой по определению nat. А CCC она не умеет, к моему изумлению.

> А вот для системных применений я можно сказать даже и не искал...

для системных применений я скорее обойдусь без шифрования вообще - незасветку пароля обеспечит s/key с вполне достаточной надежностью.

> проще сразу SFTP или SCP.

я не готов предоставить всем желающим (системам) shell equivalent на том хосте.
И гоняться с подпорочками и замазочкой, пытаясь предотвратить получение в ста возможных местах непредусмотренных дырок - не собираюсь тоже.

Тем более неинтересно мне сотни гигабайт качать без sendfile и с нагрузкой на процессор.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 20-Сен-20, 12:08 
> я не готов предоставить всем желающим (системам) shell equivalent на том хосте.

Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.

> Тем более неинтересно мне сотни гигабайт качать без sendfile и с нагрузкой на процессор.

А вот это да, увы. Любое шифрование сразу отметает шуструю передачу. В пределах изолированной сети конечно лучше FTP в этом плане сложно чего-то подсказать. Разве что HTTP GET/PUT.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 20-Сен-20, 17:40 
> Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.

ну вот тем и ценен ftp  - что это протокол доступа к файлам (больше чем просто "скачать один").

> А вот это да, увы. Любое шифрование сразу отметает шуструю передачу.

в ftp для этого предусмотрен фаллбэк на нешифрованную передачу. Причем ничто не мешает после этого скачать любимый .sha256 уже защищенным способом.

Проблема, повторяю, в полном отсутствии на сегодня работоспособных клиентов.

> В пределах изолированной сети конечно лучше FTP в этом плане сложно чего-то подсказать.

я вот слил сейчас (оказавшееся у меня поврежденным при переездах) полное зеркало opensuse 11.4 и 12.1 - что-то около 200G, через ужасный неизолированный интернет. И решительно не боюсь страшных и ужасных васянов, подбросивших мне неправильные байты. Во-первых, в крайнем случае я могу перепроверить gpg ключи, во-вторых - у васяна жопа лопнет, пытаясь вмешаться в этот поток и прицельно там что-то поменять, так чтоб не обрыв соединения вызвать, а что-то более интересное.

А АНБ, ЦРУ, Моссад и ФСБ разом конечно могли бы такое провернуть, но во-первых, они за мной в данную минуту не охотятся, у них выходной - велено трубить в шофар, жрать яблоки и каяться, солнце еще не село.
Во вторых им проще и быстрее попатчить прямо на сервере, и уже будет неважно, каким протоколом я качаю.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 22-Сен-20, 09:11 
>> Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.
> ну вот тем и ценен ftp  - что это протокол доступа к файлам (больше чем просто "скачать один").

Это да. Но я имел в виду SFTP/SCP модуль в ProFTPd.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Аноним (21), 17-Сен-20, 15:20 
> Хрен там, а не умер.
> На шаред хостингах сплошь и рядом.

Ну так всё правильно: шаред-хостинги тоже давно померли.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

59. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 18-Сен-20, 08:44 
Это, мягко говоря, заблуждение
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от пох. (?), 20-Сен-20, 17:46 
> Это, мягко говоря, заблуждение

Ну, скажем так - сильно болеют и дышат на ладан.

Потому что в эпоху гуглоинтернета принято платить не за хостинг, а за сервис целиком. Соответственно, остались только сайты мелких лавок, у которых сервис не интернетный (причем попробуй вот угадай что сегодня неинтернетное - как насчет выгула собак?) или дядин (то есть нет своего "приложения", есть приложение-в-контакте), а сайт приличие обязывает иметь.
Обычно там только телефон и позвоните-нам. Соответственно, и продавцы услуги тоже почти все сдохли.

В целом и это уже можно перевыложить в какой-нибудь as-a-service, но обычно дороже, если прикованный вебдевелопер и так есть.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 22-Сен-20, 09:09 
У нас полно интернет-магазинов хостится. В т.ч. производители, а не перепродавцы.
Но то Европа, там сфера услуг не мертва, и материальное производство не госконтрактное, и не помирает :)

Хотя пара сайтов госконтрактников тоже имеется.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 16-Сен-20, 20:12 
Думаешь как так получается?

- [Я/софт/мой вёбмастер/мой кот] по-другому не умеет.
- [Мне/моему вёбмастеру/моему коту] так проще.
- [Я/мой вёбмастер/мой кот] так привык.
- ХАЧУFTP!!!111

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

56. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от б.б. (?), 17-Сен-20, 16:00 
нормально ftp живёт и везде используется

сверить два репозитория в двух панелях mc, поубирать всё ненужное и скопировать - альтернатив этому просто нет

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

60. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Онаним (?), 20-Сен-20, 12:06 
В mc вполне себе есть поддержка SFTP / shell.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в ftpd из FreeBSD, позволявшая получить root-дост..."  +/
Сообщение от Аноним (57), 17-Сен-20, 19:17 
А во FreeBSD и в OpenBSD один и тот же ftpd или разные? OpenBSD ftpd, помнится, хвалили как очень безопасный, как и всё в OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру