L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.
Tous les utilisateurs sont évidemment invités à patcher au plus vite.
Aller plus loin
- L'alerte (18 clics)
- La liste des miroirs (3 clics)
- Le site de proftpd (8 clics)
# Re: Faille de sécurité dans ProFTPD
Posté par Boa Treize (site web personnel) . Évalué à 5.
# ISS achète-t'il ses exploits ?
Posté par Foxy (site web personnel) . Évalué à 1.
[^] # Re: ISS achète-t'il ses exploits ?
Posté par matrox . Évalué à 6.
Seul un remède de DenyAll pour les écritures est proposé. Je me vois déjà dire au client, vous pouvez plus mettre à jour votre site, car vous pourriez devenir root ;)
[^] # Re: ISS achète-t'il ses exploits ?
Posté par encre (site web personnel) . Évalué à 2.
iDefense VCP: http://www.idefense.com/contributor.html(...)
[^] # Re: ISS achète-t'il ses exploits ?
Posté par Foxy (site web personnel) . Évalué à 1.
Super dérive : je trouve une faille sur un produit, eh bien je ne préviens pas le développeur du soft mais je vends mon info à IDefense qui préviendra le développeur :-(
[^] # Re: ISS achète-t'il ses exploits ?
Posté par Éric (site web personnel) . Évalué à 4.
L'audit est une activité qui prend du temps, il ne me semble pas totalement immoral de payer ceux qui trouvent des problèmes, et donc qui aident à les corriger.
# Re: Faille de sécurité dans ProFTPD
Posté par Cedric Cellier . Évalué à 2.
dans /etc/system
Enfin, si vous êtes sur ultrasparc :-)
# Re: Faille de sécurité dans ProFTPD
Posté par Philippe F (site web personnel) . Évalué à -2.
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Sixtiz (site web personnel) . Évalué à 4.
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Boa Treize (site web personnel) . Évalué à 1.
[^] # Re: Faille de sécurité dans ProFTPD
Posté par NiCoS . Évalué à 1.
Pourtant proFTPD est dans toutes les distrib (Debian j'en suis sûr...)
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Prosper . Évalué à 2.
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Pascal Terjan (site web personnel) . Évalué à 2.
Dans les cas complexes il manque peut etre de fonctionnalités mais pour un serveur ftp de base il est nickel et facile à configurer.
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Julien Wajsberg . Évalué à 0.
# Re: Faille de sécurité dans ProFTPD
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 3.
Utilisez pureftpd ! Ça au moins, c'est du vrai serveur ftp, codé par des paranoiaques, extremement facile à installer (et par défaut avec toutes les options de sécurité activées) pour le newbie qui veut monter un serveur chez lui, tout en proposant des fonctionnalités trés riches et pour la plupart idéales pour les ISP !
raaa mais !
http://www.pureftpd.org(...)
L'essayer, c'est l'adopter !
ps: coucou à franck l'initiateur du projet et à tout les anciens de Rtc One ;-)
Jylog
[^] # Re: Faille de sécurité dans ProFTPD
Posté par Julien Wajsberg . Évalué à 2.
http://vsftpd.beasts.org/(...)
[^] # Re: Faille de sécurité dans ProFTPD
Posté par j . Évalué à 2.
Rassure-toi, le site de pure-ftpd est en train d'etre refait en xhtml :)
# Quel serveur alors ?
Posté par snurpsss . Évalué à 2.
Là je lis dans les commentaires qu'il prendrai le chemin de wu-ftp pour ce qui est des trous de sécurité .
Quel serveurs utiliser alors ? Qui tienne la charge , supporte le fxp , et permet une gestion fine des droits ( voir quotas upload/ download . )
Merci de repondre si vous avez trouvé une solution au problème du choix d un srv ftp .
[^] # Re: Quel serveur alors ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
Si tu commences à baser tes décisions sur un pauvre commentaire LinuxFr isolé, tu es mal barré.
[^] # Re: Quel serveur alors ?
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 2.
Oui ben lis mieux, car tu aurais trouver le serveur de tes reves : http://www.pureftpd.org(...)
il gère tout ce que tu demande : fxp, quota..
[^] # Re: Quel serveur alors ?
Posté par Olivier Jeannet . Évalué à 1.
Qu'est-ce que le fxp, et à quoi ça sert ?
Merci de tes explications.
[^] # Re: Quel serveur alors ?
Posté par Amand Tihon (site web personnel) . Évalué à 1.
- limiter la vitesse par user et/ou par répertoire
- spécifier des comptes "download seulement", ou avec un rep particulier pour l'upload
- spécifier un nombre maxi de connexions par IP pour certains comptes seulement
Comme on peut le voir, ma configuration varie énormément suivant les comptes ou les répertoires (pas toujours pareil).
Si tout ça est possible et que c'est moi qui ai mal cherché, je migrerai à pure-ftpd. En attendant, je reste sous proftpd.
[^] # Re: Quel serveur alors ?
Posté par bouhh . Évalué à 3.
En voyant cette image je pense qu'il est a meme de gerer tout ce que tu cherche. Pour la limit par user et par repertoire peut etre pas.
http://www.pureftpd.org/pure-pw.png(...)
a en croire cet autre capture ca a l'air dev par des fr
http://www.pureftpd.org/ftpwho.png(...)
Sinon pour Olivier le fxp c'est du transfert de site a site sans passer par chez toi, ca te permet par example d'uploader le contenu de ta page web depuis un autre server si tu na pas de shell, entre autre.
[^] # Re: Quel serveur alors ?
Posté par Amand Tihon (site web personnel) . Évalué à 1.
C'est la seule raison pour laquelle je garde proftpd, parce que sinon pure a vraiment l'air sympa. En plus il supporte l'ipv6 :)
Si une config par répertoire était possible en utilisant des fichiers .ftpaccess à la apache, ca serait le pied :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.