форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Удаленная уязвимость в OpenLDAP и локальная в ProF..."

Сообщение от opennews (??) on 14-Дек-06, 22:17

В OpenLDAP найдена (http://secunia.com/advisories/23334/) серьезная проблема безопасности, позволяющая атакующему удаленно выполнить свой код на сервере. Уязвимости подвержены только версии OpenLDAP (http://www.openldap.org/) собранные с ключом "--enable-kbind" (по умолчанию выключено начиная с версии 2.0.2 и удалено из скрипта конфигурирования начиная с 2.1). В ProFTPD продолжают находить уязвимости, на этот раз используя ошибку (http://secunia.com/advisories/23371/) в коде модуля mod_ctrls, злоумышленник имеющий локальный аккаунт может выполнить свой код на сервере c правами суперпользователя. Ошибка исправлена в ProFTPD 1.3.1rc1. URL: http://secunia.com/advisories/23334/ Новость: http://www.opennet.dev/opennews/art.shtml?num=9233

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от bromantik (??) on 14-Дек-06, 22:17

Нет, это капец, я уже устал обновлять профтпд Неужели придётся переползать под vsftpd?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от Квагга on 14-Дек-06, 22:22
	Зачем "переползать под vsftpd"? Вам сюды: http://www.pureftpd.org/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от smb on 14-Дек-06, 22:46
	Временно недоступен =) А так хорошая вещь...Не слишком громоздкая/многофукнциональная только ли?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от Квагга on 15-Дек-06, 07:24
	> Временно недоступен =) Гон? Проверьте кеши своей сетки. Это ваши сквиды в дауне для наружу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Basmach on 14-Дек-06, 23:09

У меня примерно такая конфигурация: есть пользаваетель А и пользователь В. Пользователь А имеет право качать из папки А но не может туда писать. Пользователь В может и писать и читать в папку А. Причем аккауны хранятся в mysql. И куда посоветуете переползти? А то дырявость proftpd задолбала!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от Killy on 14-Дек-06, 23:50
	Завести пользователя proftpd (напрмер) и запускать от его имени...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от гость on 15-Дек-06, 02:33
	Создай нормальных пользователей с нулевым шеллом и разрули на уровне стандартных прав пользователя. Если уж очень надо мускуль, то может быть можно как-нибудь через PAM это дело хитро закрутить - подскажите, мудрые люди.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от null (??) on 15-Дек-06, 06:18
	Так ведь по русски написано описалово для изготовления модулей PAM. Описалово библиотеки libmysqlclient, или как там её, тоже есть. Всё просто и, думаю, в сотню строк на С влезет, так что можно написать на коленке, как мне кажется.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от Аноним on 17-Дек-06, 23:54
	>Так ведь по русски написано описалово для изготовления модулей PAM. Описалово библиотеки >libmysqlclient, или как там её, тоже есть. Всё просто и, думаю, >в сотню строк на С влезет, так что можно написать на >коленке, как мне кажется. Blin , a emerge za4em ? :)) slep3 linux # esearch pam_mysql [ Results for search key : pam_mysql ] [ Applications found : 1 ] *  sys-auth/pam_mysql       Latest version available: 0.7_rc1-r1       Latest version installed: [ Not Installed ]       Size of downloaded files: 982 kB       Homepage:    http://pam-mysql.sourceforge.net/       Description: pam_mysql is a module for pam to authenticate users with mysql       License:     GPL-2 dumau k Free sami kak nibud
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от Vaso Petrovich on 15-Дек-06, 13:42
	у меня так же на http://www.pureftpd.org/ поставил и забыл
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от HardKiller on 14-Дек-06, 23:27

если ошибки находят, значит работают, если работают, значит программа будет работать как надо. молодцы что исправляют. вспомните linux-0.1 на что это было похоже?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Alexey (??) on 14-Дек-06, 23:50

И действительно работают! Наконец-то появилась поддержка RFC-2640!!! Теперь не нужны всякие iconv патчи. А какой фтп под пиксы может тем же похвастаться? ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Alexey (??) on 15-Дек-06, 00:02

>... выполнить свой код с правами суперпользователя. Так это ежели сервис запущен с такими правами. Так нефик его под root-ом пускать!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от cmpxchg on 15-Дек-06, 10:31
	(испуганно) Месье изволит шутить, не так ли? Каким образом процесс, имея euid != 0, может читать, к примеру, свой конфиг, директории домашних пользователей, открывать серверный сокет с номером порта меньше 1024?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от cmpxchg on 15-Дек-06, 10:35
	Прошу прощения, про конфиг я сказал, не подумав. Про остальное остается в силе.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от cmpxchg on 15-Дек-06, 11:02
	... хотя, как удалось выяснить чтением из исходников, в ProFTPD конфиг читается именно от рута.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от nickelodeon on 15-Дек-06, 11:57
	месье вероятно закомментировал  следующие строки из proftpd.conf # Set the user and group under which the server will run. User                            nobody Group                           nogroup (вместо nobody и nogroup можно создать других пользователей) Таким образом, привилегии демона будут соответствовать привилегиям указанного пользователя. ЗЫ: для дополнительной безопасности сервера никто не отменял chroot jail (:
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от GateKeeper (??) on 17-Дек-06, 19:07
	Срочно перечитайте про sysctl. Есть там пара волшебных параметров, указывающих, с какого по какой номера портов считатьюся привилегированными. далее скрипт: sysctl param=0 /path/to/programm sysctl param=1023 Работает без нареканий при запуске почтаря от пользователя с euid != 0.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Dolphin (??) on 15-Дек-06, 10:29

А чем это vsftpd плох ? Юзаю уже больше года, все пашет как часы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от dmitri (??) on 16-Дек-06, 18:23
	Он хорош, но только в качестве анонимного ftp - не хватает функциональности
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Аноним on 15-Дек-06, 11:39

2 cmpxchg все зависит от OS, например, SOLARIS 10,  - любой сервис можно запустить НЕ от рута =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от si on 15-Дек-06, 11:47
	и он сможет стать другим юзером ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от cmpxchg on 15-Дек-06, 11:55
	Можно-то можно, вопрос только в том, пользуется ли ProFTPD ( и многие другие ) этой соляркиной фичей ( "least privilege model" )
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Полосатый Хряк on 15-Дек-06, 14:59

итак 1.3.1rc1 кто еще записался в бетта тестировщики?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от Аноним on 15-Дек-06, 18:49

про солярку, от сервиса не требуется поддержка какихто фичей, _ЛЮБОЙ_ сервис можно запустить от простого пользователя, выдав _КОНКРЕТНЫЕ_ привилегии для него, в плоть до sys calls. меня таки эта фича ну просто ОЧЕНЬ радует =) p.s. инит скрипты канечно же нужно юзать не system v style, a SMF ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от ZANSWER (??) on 15-Дек-06, 21:02

МяФ!:) а можно ткнуть носом, где прочесть про эти фичи у Солярки, а то выглядит приятно, поставить потестить мона было бы...:)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"
	Сообщение от cmpxchg on 16-Дек-06, 00:23
	Насколько я понимаю, речь идет об этом: http://www.sun.com/bigadmin/features/articles/least_privilege.html ( англ. )
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от guest (??) on 16-Дек-06, 01:09

закинул пдфку к сибе, где она у сантехников я хз http://msd.rnode.ru/svc_smf_priv_drop.pdf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от guest (??) on 16-Дек-06, 01:10

несовсем то, в пдфке более полно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Удаленная уязвимость в OpenLDAP и локальная в ProFTPD"

Сообщение от ZANSWER (??) on 16-Дек-06, 13:05

МяФ!:) спасибо, уже читаю...:)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]