Articles précédents : Articles
- [29] Résistance au changement et ignorance des alternatives sont-elles toujours les mamelles du succès de la suite bureautique de Microsoft ?
- [120] Accès priviligié pour les membres du club Mandrake
- [122] Spamihilator passe de GPL à graticiel
- [264] Directive sur les brevets logiciels adoptée
- [1] LastJeudi de Montpellier
- [113] VeriSign refuse d'obtempérer
- [34] Un accord CIGREF / MS
- [140] Pour un démarrage plus rapide de Linux
- [50] Red Hat Linux annonce la naissance du projet Fedora
- [46] Mandrake annonce un accord avec Shuttle
Liens connexes
- L'alerte (1331 hits)
- La liste des miroirs (317 hits)
- Le site de proftpd (686 hits)
Dépêche modérée par
Articles : Faille de sécurité dans ProFTPD
Posté par Amand Tihon (page perso, ). Modéré le 24 septembre 2003.
L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.
Tous les utilisateurs sont évidemment invités à patcher au plus vite.
![[en]](../../../images/en.png)
L'alerte (1331 hits)-
La liste des miroirs (317 hits)
-
Le site de proftpd (686 hits)
> Lire la dépêche (24 commentaires, moyenne: 2).
Re: Faille de sécurité dans ProFTPD
Les packages Slackware ont été mis à jour à 7h00 ce matin.
ISS achète-t'il ses exploits ?
Quand je vois des annonces de failles de sécurité venant d'ISS avec un exploit utilisable, je me demande toujours s'ils ne l'ont pas achété à quelque vil black hat ?
-
[^]Re: ISS achète-t'il ses exploits ?
Posté par Yann Souchon (page perso, ) le 24/09/2003 à 21:56. (lien). Évalué à 6.Je sais pas ou tu as vu cet exploit, mais sur la page Advisories ou proftpd-ascii-xfer-newline-bo (12200), à aucun moment je vois d'exploit !
Seul un remède de DenyAll pour les écritures est proposé. Je me vois déjà dire au client, vous pouvez plus mettre à jour votre site, car vous pourriez devenir root ;)
-
[^]Re: ISS achète-t'il ses exploits ?
Posté par encre (page perso, ) le 25/09/2003 à 07:29. (lien). Évalué à 2.Pourquoi? iDefense et les autres c'est mieux qu'ISS?
iDefense VCP: http://www.idefense.com/contributor.html(...)-
[^]Re: ISS achète-t'il ses exploits ?
Posté par Foxy (page perso, ) le 25/09/2003 à 07:37. (lien). Évalué à 1.Putain, j'avais jamais vu qu'IDefense avait une politique affichée de rémunérations des contributeurs pour les failles et les exploits.
Super dérive : je trouve une faille sur un produit, eh bien je ne préviens pas le développeur du soft mais je vends mon info à IDefense qui préviendra le développeur :-(-
[^]Re: ISS achète-t'il ses exploits ?
Posté par Éric (Jabber id, page perso, ) le 25/09/2003 à 10:02. (lien). Évalué à 4.Tant que la communication iDefense->développeur est rapide je n'aurai rien à y redire.
L'audit est une activité qui prend du temps, il ne me semble pas totalement immoral de payer ceux qui trouvent des problèmes, et donc qui aident à les corriger.
-
-
Re: Faille de sécurité dans ProFTPD
set noexec_user_stack = 1
dans /etc/system
Enfin, si vous êtes sur ultrasparc :-)
[+] Re: Faille de sécurité dans ProFTPD
ProFTPD, c'est pas la passoire que certaines distrib ont vire tellement ils en avait marre des trous de securite ?
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par Sixtiz (page perso, ) le 25/09/2003 à 08:53. (lien). Évalué à 4.AMHA, la passoire en question c'est plutôt wu-ftpd...
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par Boa Treize (page perso, ) le 25/09/2003 à 11:52. (lien). Évalué à 1.Dans Slackware, il est passé de la catégorie /pasture (« retraîte » en quelque sorte) à /pasture/dontuse (« ne pas utiliser », répertoire qui contient un README assez explicite).
-
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par NiCoS (page perso, ) le 25/09/2003 à 08:58. (lien). Évalué à 1.Quel serveur FTP utiliser alors ?
Pourtant proFTPD est dans toutes les distrib (Debian j'en suis sûr...)-
[^]Re: Faille de sécurité dans ProFTPD
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par Pascal Terjan (Jabber id, page perso, ) le 25/09/2003 à 11:48. (lien). Évalué à 2.pure-ftpd me convient.
Dans les cas complexes il manque peut etre de fonctionnalités mais pour un serveur ftp de base il est nickel et facile à configurer.
-
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par Wajsberg Julien () le 25/09/2003 à 08:58. (lien). Évalué à 0.Nan c'est wu-ftpd ;) mais proftpd en prend le chemin...
Re: Faille de sécurité dans ProFTPD
Tin ! mais arretez d'utiliser cette passoire !
Utilisez pureftpd ! Ça au moins, c'est du vrai serveur ftp, codé par des paranoiaques, extremement facile à installer (et par défaut avec toutes les options de sécurité activées) pour le newbie qui veut monter un serveur chez lui, tout en proposant des fonctionnalités trés riches et pour la plupart idéales pour les ISP !
raaa mais !
http://www.pureftpd.org(...)
L'essayer, c'est l'adopter !
ps: coucou à franck l'initiateur du projet et à tout les anciens de Rtc One ;-)
Jylog
-
[^]Re: Faille de sécurité dans ProFTPD
Posté par Wajsberg Julien () le 25/09/2003 à 09:00. (lien). Évalué à 2.Tu oublies l'excellent vsftpd :)
http://vsftpd.beasts.org/(...)
-
[^]Re: Faille de sécurité dans ProFTPD
Quel serveur alors ?
J utilisais wu-ftp . En ayant marre de patcher a tout va je suis passé a proftp.
Là je lis dans les commentaires qu'il prendrai le chemin de wu-ftp pour ce qui est des trous de sécurité .
Quel serveurs utiliser alors ? Qui tienne la charge , supporte le fxp , et permet une gestion fine des droits ( voir quotas upload/ download . )
Merci de repondre si vous avez trouvé une solution au problème du choix d un srv ftp .
-
[^]Re: Quel serveur alors ?
Posté par Boa Treize (page perso, ) le 25/09/2003 à 11:51. (lien). Évalué à 2.Là je lis dans les commentaires qu'il prendrai le chemin de wu-ftp pour ce qui est des trous de sécurité .
Si tu commences à baser tes décisions sur un pauvre commentaire LinuxFr isolé, tu es mal barré.
-
[^]Re: Quel serveur alors ?
Posté par Laurent J (page perso, ) le 25/09/2003 à 11:57. (lien). Évalué à 2."Là je lis dans les commentaires"
Oui ben lis mieux, car tu aurais trouver le serveur de tes reves : http://www.pureftpd.org(...)
il gère tout ce que tu demande : fxp, quota..-
[^]Re: Quel serveur alors ?
Posté par Olivier Jeannet () le 25/09/2003 à 17:48. (lien). Évalué à 1.il gère tout ce que tu demandes : fxp, quota..
Qu'est-ce que le fxp, et à quoi ça sert ?
Merci de tes explications.
-
[^]Re: Quel serveur alors ?
Posté par Amand Tihon (page perso, ) le 25/09/2003 à 18:30. (lien). Évalué à 1.Bon, différents trucs que j'utilise actuellement dans ma config de proftpd et pour lesquels je cherche un équivalent dans pureftpd :
- limiter la vitesse par user et/ou par répertoire
- spécifier des comptes "download seulement", ou avec un rep particulier pour l'upload
- spécifier un nombre maxi de connexions par IP pour certains comptes seulement
Comme on peut le voir, ma configuration varie énormément suivant les comptes ou les répertoires (pas toujours pareil).
Si tout ça est possible et que c'est moi qui ai mal cherché, je migrerai à pure-ftpd. En attendant, je reste sous proftpd.-
[^]Re: Quel serveur alors ?
Posté par bouhh () le 26/09/2003 à 01:26. (lien). Évalué à 3.Bonjour,
En voyant cette image je pense qu'il est a meme de gerer tout ce que tu cherche. Pour la limit par user et par repertoire peut etre pas.
http://www.pureftpd.org/pure-pw.png(...)
a en croire cet autre capture ca a l'air dev par des fr
http://www.pureftpd.org/ftpwho.png(...)
Sinon pour Olivier le fxp c'est du transfert de site a site sans passer par chez toi, ca te permet par example d'uploader le contenu de ta page web depuis un autre server si tu na pas de shell, entre autre.-
[^]Re: Quel serveur alors ?
Posté par Amand Tihon (page perso, ) le 26/09/2003 à 05:01. (lien). Évalué à 1.Pour la limit par user et par repertoire peut etre pas
C'est la seule raison pour laquelle je garde proftpd, parce que sinon pure a vraiment l'air sympa. En plus il supporte l'ipv6 :)
Si une config par répertoire était possible en utilisant des fichiers .ftpaccess à la apache, ca serait le pied :)
-
-
-
Cette page a été générée par Templeet en 0.1599s (dont 0.0574 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.