Pull to refresh

Comments 20

Видел эксплоит
сейчас решил протестить. мой 1.3.4c не берет
причем, как я понял, нужен proftpd с mod_copy и только 1.3.5 ветка
Именно, нужна версия с mod_copy, но ветка не обязательно 1.3.5, так как по ссылке пишут:

wheezy 1.3.4a-5+deb7u2 vulnerable
wheezy (security) 1.3.4a-5+deb7u1 vulnerable
jessie 1.3.5-1.1 vulnerable
(mod_copy not available in version 1.3.3)
А с чем связана задержка с обновлением в stable?
Почему бы просто не отключить модуль mod_copy в конфиге modules.conf? Почти наверняка он не используется, и не нужно будет ждать, пока появится обновление.
Ну и конечно же, если админ ради своего удобства сделал «chmod -R 777 /usr/www», то наверняка взлом его сайтов не ограничится одним лишь proftpd. В нормальной ситуации команды site cpfr/cpto, выполняемые до авторизации, работают от пользователя proftpd и на запись ему доступны разве что папки /tmp и /usr/tmp, но никак не www-root или любые вложенные папки.
Я так понимаю проблема строго с дебиан?
Проблема не в ОС, а в ProFTPD, поэтому везде где используется ProFTPD с mod_copy (по умолчанию включено), тоесть версии 1.3.5 и частично 1.3.4
Он не включен по умолчанию. Это вообще contrib-модуль.
root@home:~# cat /etc/debian_version
7.8

root@home:~# proftpd --version
ProFTPD Version 1.3.4a

root@home:~# grep mod_copy /etc/proftpd/modules.conf
LoadModule mod_copy.c

root@home:~# apt-cache search proftpd copy



Странно. Включен по умолчанию, в репах такого модуля нет, дебиан.
Это не «включен по умолчанию», а «включен мейнтейнерами дебиана».
mod_copy добавляется при сборке принудительно параметрами configure --with-modules / --with-shared
[isage@seven-swords ~]$ cat /etc/proftpd.conf | grep copy
# used to copy files/directories from one place to another on the server
# (http://www.castaglia.org/proftpd/modules/mod_copy.html)
# LoadModule mod_copy.c

[isage@seven-swords ~]$ cat /etc/redhat-release
Fedora release 20 (Heisenbug)
Попробовал на своих серверах, эмулируя злоумышленника:
1.Как уже говорилось «нужна версия с mod_copy».
2.Должен быть php (или любой другой скриптовый язык, что злоумышленник должен знать )
3.должен быть известен путь к каталогу скриптов.
4.Должны быть права на запись туда.
Куда не посмотрю, везде нет этого mod_copy;
Помню один раз собирал со всеми модулями proftpd в т.ч. и с ним, при make install пишется большое предупреждение что mod_copy is unstable and should not be used in production;
Может предупреждение и зачем-то убрали в последних версиях, но оно было.
Проверить какая у вас версия, например (в debian), можно так:

sh:~# aptitude -F "%p | %v | %V" search ~V | grep proftpd
proftpd-basic | 1.3.5-1.1 | 1.3.5-1.1

Подскажите, пожалуйста, а в «Debian» «proftpd --version» не работает?
В чем смысл через «aptitude»? Неужели так можно получить разный результат?
«proftpd --version» покажет просто 1.3.5 как в случае с 1.3.5-1.1, так и в случае с 1.3.5-2
А вариант dpkg --list |grep proftpd вполне же пригоден?
Да, такой вариант тоже показывает то что надо:
ii proftpd-basic 1.3.5-2
И кстати, вариант с dpkg покажет, установлен ли вообще пакет в системе.
Если нет — команда выдаст пустую строку. Вариант с aptitude же, покажет версию в репозитории.
Это я кстате нашел уязвомость. По-тихому написал автору proftpd чтобы поправил без большого шума, в итоге он создал тикет и бага была уже в новостях уже бувально через сутки.
Sign up to leave a comment.

Articles