Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости
Спустя полтора года с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость, которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "ошибка, приводящая к повреждению памяти".В настоящее время опубликована подробная инструкция с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который не опубликован публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian. Патч с исправлением уязвимости можно загрузить здесь.
Среди улучшений, добавленных в ProFTPD 1.3.4:
- Новые модули
- mod_tls_memcache - использование mod_memcache/memcached для кэширования в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы FTP-серверов;
- mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
- mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
- mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
- mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
- Новые директивы конфигурации
- MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможностью блокирования клиента через mod_ban при превышении указанного порога;
- ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
- SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
- TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
- Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
- SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
- WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
- Упрощены директивы конфигурации mod_ldap;
- Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
- "Limit WRITE" теперь запрещает перемещение и переименования файлов вне директории, для которой задано ограничение;
- Прекращена поддержка директивы DisplayGoAway.
© OpenNet