Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости

Спустя полтора года с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость, которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. В настоящее время опубликовано подробная инструкция с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который пока не опубликован публично. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "memory corruption error".

Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian. Патч с исправлением уязвимости можно загрузить здесь.

Среди улучшений, добавленных в ProFTPD 1.3.4:

  • Новые модули
    • mod_tls_memcache - использование mod_memcache/memcached для кэширование в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы FTP-серверов;
    • mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
    • mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
    • mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
    • mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
  • Новые директивы конфигурации
    • MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможности блокирования клиента через mod_ban при превышении указанного порога;
    • ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
    • SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
    • TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
    • Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
    • SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
    • WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
  • Упрощены директивы конфигурации mod_ldap;
  • Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
  • "Limit WRITE" теперь запрещает перемещение и переименования файлов вне директории, для которой задано ограничение;
  • Прекращена поддержка директивы DisplayGoAway.


Источник:
http://www.opennet.ru/opennews/art.shtml?num=32272

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>