OpenForum RSS: Концептуальная атака против vsftpd, не представляющая реальн... https://www.opennet.me/openforum/vsluhforumID3/81603.html История с обнаружением уязвимостей (http://www.opennet.ru/opennews/art.shtml?num=32450) в ProFTPD и ftpd из состава FreeBSD, связанных с загрузкой библиотек после создания chroot, получила интересное продолжение. Сообщается (http://seclists.org/fulldisclosure/2011/Dec/66) об обнаружении похожей проблемы в ftp-сервере vsftpd (https://security.appspot.com/vsftpd.html), но уязвимость больше носит теоретический характер, так как чрезвычайно сложно эксплуатируема, требует нереальных условий и в конечном итоге может привести лишь к выполнении кода с правами непривилегированного пользователя, что практически исключает выход за пределы chroot (для повышения привилегий из chroot можно дополнительно эксплуатировать локальную уязвимость в ядре).<br><br><br><br>Проблема присутствует не в самом vsftpd, а в glibc. Для совершения атаки в системе необходимо наличие устаревшей версии glibc с неисправленной уязвимостью, устраненной ещё в 2009 году. В случае с vsftpd в каталог "~/usr/share/zoneinfo" помещаются с...<br><br>URL: http://seclist Концептуальная атака против vsftpd, не представляющая... (arisu) https://www.opennet.me/openforum/vsluhforumID3/81603.html#48 Tue, 06 Dec 2011 09:42:08 GMT &gt; Может тогда вообще нафиг отменить имена файлов? Есть же номер inode, а <br>&gt; там индексатор разберется <br><br>может, ты не будешь идиотничать? говорят, если постоянно идиотничать, постепенно превращаешься в настоящего идиота.<br> Концептуальная атака против vsftpd, не представляющая... (arisu) https://www.opennet.me/openforum/vsluhforumID3/81603.html#47 Tue, 06 Dec 2011 09:41:35 GMT лично мне как-то без разницы, что там надо *вам*. я давно уже использую другой протокол. угу, с сервером и клиентом под пингвинус (патч к mc наличествует, debsrc тоже) и клиентом под шындошс (плугины к фару и тоталу наличествуют). нет, &#171;продвижением&#187; этого я заниматься не собираюсь, оно мне не надо. хватит того, что оно устраивает меня и моих клиентов.<br><br>а теперь разрешаю &#171;защитывать слив&#187;, кричать &#171;покажи&#187; и заниматься прочим словоблудием.<br> Концептуальная атака против vsftpd, не представляющая... (arisu) https://www.opennet.me/openforum/vsluhforumID3/81603.html#46 Tue, 06 Dec 2011 09:35:55 GMT можешь называть меня &#171;Его Божественная Тень&#187;.<br> Концептуальная атака против vsftpd, не представляющая... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/81603.html#45 Tue, 06 Dec 2011 08:15:51 GMT Приятно видеть умного человека, знающего абсолютно все об окружающих, их желаниях и о том, как им следует поступать<br> Концептуальная атака против vsftpd, не представляющая... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/81603.html#44 Tue, 06 Dec 2011 07:34:46 GMT Может тогда вообще нафиг отменить имена файлов? Есть же номер inode, а там индексатор разберется<br> Концептуальная атака против vsftpd, не представляющая... (12345) https://www.opennet.me/openforum/vsluhforumID3/81603.html#43 Tue, 06 Dec 2011 07:29:35 GMT Все нормально, не бери в голову. Мы ведь тоже у тебя не спросили, какие имена давать файлам<br> Концептуальная атака против vsftpd, не представляющая... (arisu) https://www.opennet.me/openforum/vsluhforumID3/81603.html#42 Tue, 06 Dec 2011 00:24:54 GMT извини, забыл тебя спросить, как мне посты писать.<br> Концептуальная атака против vsftpd, не представляющая... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/81603.html#41 Mon, 05 Dec 2011 23:30:43 GMT &gt; согласен &#8212; его тоже пора заменить на что-то нормальное, а не доделывать <br>&gt; к нему костыли.<br><br>Займитесь. И когда ваш уродец встанет на ноги и получит мировое признание без выкриков со стороны "зачем этот уродец!" мы сразу выкинем этого уродца старый гадкий протокол ФТП.<br>Любой онаним в интернете горазд звиздеть а вот чтобы сделать дело о котором трепешься - оооо...<br> Концептуальная атака против vsftpd, не представляющая... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/81603.html#40 Mon, 05 Dec 2011 23:17:45 GMT &gt; нет, нелюбители бардака. цифры-английские-буквы-подчёркивание-точки. всё, больше в <br>&gt; именах файлов ничего не надо. по крайней мере до тех пор, <br>&gt; пока char не станет повсеместно размером в четыре байта и живы <br>&gt; уродцы типа utf.<br><br>Вот так пожалуйста и оформляйте свои посты везде где бы вы ни писали. Если уж современные программные средства не позволяют ничего сделать с бардаком в вашей голове, простите...<br><br>&gt; хинт: пользователю &#171;имена файлов&#187; вообще не нужны, ему нужна хорошая система <br>&gt; индексации документов. на веб-хостингах имена с символами вне перечисленого выше диапазона <br>&gt; не нужны ещё больше. и только любители жрать кактусы продолжают настаивать <br>&gt; на том, что кактус &#8212; вкусно и полезно.<br><br>Кактус на самом деле вкусно и полезно если он правильно приготовлен. <br>Хинт: программы пишутся программистами с целью понабирать на мониторе всякую тарабарщину.<br><br>