Faille de sécurité dans ProFTPD

Posté par  (site Web personnel) . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
24
sept.
2003
Sécurité
ISS a découvert un bug dans le traitement des téléchargements en mode ASCII, dans Proftpd.

L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.

Tous les utilisateurs sont évidemment invités à patcher au plus vite.

Aller plus loin

  • # Re: Faille de sécurité dans ProFTPD

    Posté par  (site Web personnel) . Évalué à 5.

    Les packages Slackware ont été mis à jour à 7h00 ce matin.
  • # ISS achète-t'il ses exploits ?

    Posté par  (site Web personnel) . Évalué à 1.

    Quand je vois des annonces de failles de sécurité venant d'ISS avec un exploit utilisable, je me demande toujours s'ils ne l'ont pas achété à quelque vil black hat ?
    • [^] # Re: ISS achète-t'il ses exploits ?

      Posté par  . Évalué à 6.

      Je sais pas ou tu as vu cet exploit, mais sur la page Advisories ou proftpd-ascii-xfer-newline-bo (12200), à aucun moment je vois d'exploit !

      Seul un remède de DenyAll pour les écritures est proposé. Je me vois déjà dire au client, vous pouvez plus mettre à jour votre site, car vous pourriez devenir root ;)
    • [^] # Re: ISS achète-t'il ses exploits ?

      Posté par  (site Web personnel) . Évalué à 2.

      Pourquoi? iDefense et les autres c'est mieux qu'ISS?
      iDefense VCP: http://www.idefense.com/contributor.html(...)
      • [^] # Re: ISS achète-t'il ses exploits ?

        Posté par  (site Web personnel) . Évalué à 1.

        Putain, j'avais jamais vu qu'IDefense avait une politique affichée de rémunérations des contributeurs pour les failles et les exploits.

        Super dérive : je trouve une faille sur un produit, eh bien je ne préviens pas le développeur du soft mais je vends mon info à IDefense qui préviendra le développeur :-(
        • [^] # Re: ISS achète-t'il ses exploits ?

          Posté par  (site Web personnel) . Évalué à 4.

          Tant que la communication iDefense->développeur est rapide je n'aurai rien à y redire.

          L'audit est une activité qui prend du temps, il ne me semble pas totalement immoral de payer ceux qui trouvent des problèmes, et donc qui aident à les corriger.
  • # Re: Faille de sécurité dans ProFTPD

    Posté par  . Évalué à 2.

    set noexec_user_stack = 1
    dans /etc/system

    Enfin, si vous êtes sur ultrasparc :-)
  • # Re: Faille de sécurité dans ProFTPD

    Posté par  (site Web personnel) . Évalué à -2.

    ProFTPD, c'est pas la passoire que certaines distrib ont vire tellement ils en avait marre des trous de securite ?
  • # Re: Faille de sécurité dans ProFTPD

    Posté par  (site Web personnel) . Évalué à 3.

    Tin ! mais arretez d'utiliser cette passoire !

    Utilisez pureftpd ! Ça au moins, c'est du vrai serveur ftp, codé par des paranoiaques, extremement facile à installer (et par défaut avec toutes les options de sécurité activées) pour le newbie qui veut monter un serveur chez lui, tout en proposant des fonctionnalités trés riches et pour la plupart idéales pour les ISP !

    raaa mais !

    http://www.pureftpd.org(...)

    L'essayer, c'est l'adopter !

    ps: coucou à franck l'initiateur du projet et à tout les anciens de Rtc One ;-)
    Jylog
  • # Quel serveur alors ?

    Posté par  . Évalué à 2.

    J utilisais wu-ftp . En ayant marre de patcher a tout va je suis passé a proftp.

    Là je lis dans les commentaires qu'il prendrai le chemin de wu-ftp pour ce qui est des trous de sécurité .

    Quel serveurs utiliser alors ? Qui tienne la charge , supporte le fxp , et permet une gestion fine des droits ( voir quotas upload/ download . )

    Merci de repondre si vous avez trouvé une solution au problème du choix d un srv ftp .
    • [^] # Re: Quel serveur alors ?

      Posté par  (site Web personnel) . Évalué à 2.

      Là je lis dans les commentaires qu'il prendrai le chemin de wu-ftp pour ce qui est des trous de sécurité .

      Si tu commences à baser tes décisions sur un pauvre commentaire LinuxFr isolé, tu es mal barré.
    • [^] # Re: Quel serveur alors ?

      Posté par  (site Web personnel) . Évalué à 2.

      "Là je lis dans les commentaires"

      Oui ben lis mieux, car tu aurais trouver le serveur de tes reves : http://www.pureftpd.org(...)
      il gère tout ce que tu demande : fxp, quota..
      • [^] # Re: Quel serveur alors ?

        Posté par  . Évalué à 1.

        il gère tout ce que tu demandes : fxp, quota..

        Qu'est-ce que le fxp, et à quoi ça sert ?
        Merci de tes explications.
      • [^] # Re: Quel serveur alors ?

        Posté par  (site Web personnel) . Évalué à 1.

        Bon, différents trucs que j'utilise actuellement dans ma config de proftpd et pour lesquels je cherche un équivalent dans pureftpd :
        - limiter la vitesse par user et/ou par répertoire
        - spécifier des comptes "download seulement", ou avec un rep particulier pour l'upload
        - spécifier un nombre maxi de connexions par IP pour certains comptes seulement

        Comme on peut le voir, ma configuration varie énormément suivant les comptes ou les répertoires (pas toujours pareil).

        Si tout ça est possible et que c'est moi qui ai mal cherché, je migrerai à pure-ftpd. En attendant, je reste sous proftpd.
        • [^] # Re: Quel serveur alors ?

          Posté par  . Évalué à 3.

          Bonjour,

          En voyant cette image je pense qu'il est a meme de gerer tout ce que tu cherche. Pour la limit par user et par repertoire peut etre pas.

          http://www.pureftpd.org/pure-pw.png(...)

          a en croire cet autre capture ca a l'air dev par des fr
          http://www.pureftpd.org/ftpwho.png(...)

          Sinon pour Olivier le fxp c'est du transfert de site a site sans passer par chez toi, ca te permet par example d'uploader le contenu de ta page web depuis un autre server si tu na pas de shell, entre autre.
          • [^] # Re: Quel serveur alors ?

            Posté par  (site Web personnel) . Évalué à 1.

            Pour la limit par user et par repertoire peut etre pas
            C'est la seule raison pour laquelle je garde proftpd, parce que sinon pure a vraiment l'air sympa. En plus il supporte l'ipv6 :)
            Si une config par répertoire était possible en utilisant des fichiers .ftpaccess à la apache, ca serait le pied :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.