1.1, bootforce (?), 19:32, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –14 +/– |
Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались одна за одной.
| |
|
2.5, Maris (?), 19:45, 02/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
Может я конечно ошибаюс, но ProFTPD сравнително давно и известен и популярен.
| |
|
3.20, deadless (?), 21:58, 02/12/2010 [^] [^^] [^^^] [ответить]
| +6 +/– |
Вот именно сравнительно давно известен как дырявое корыто. везде стоит только vsftpd и ничего другого.
| |
|
4.47, Hety (??), 14:19, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
+1. С тех пор, как появился vsftpd ничего другого использовать нет возможности. Совесть не позволяет.
| |
|
5.57, Анон (?), 08:09, 04/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Совесть побоку, главное чтобы инфа конторы не уплыла в неизвестном направлении.
| |
|
|
|
2.13, Аноним (-), 21:22, 02/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Пришел? Проприетарные FTP сервера вообще нигде не используются - FTP всю жизнь работал на опенсорсе (даже поболе HTTP). А ProFTPd всегда был дырявым, так что ничего неожиданного.
| |
2.22, User294 (ok), 22:24, 02/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Ну вот и пришел опенсурс к успеху, известности и популярности. Дыры посыпались
> одна за одной.
Хоть вам бы и хотелось обосрать опенсорц, но правда жизни немного не такая. И состоит она в том что в ProFTPD дыры находили и раньше. А если вы вдруг только сейчас отпустили ручник - опенсорс в этом не виноват, как ни странно. Ну вот например новость 4-летней давности: http://www.opennet.dev/opennews/art.shtml?num=8799 - как это с вашей теорией согласуется?
| |
|
3.34, Konstantin (??), 08:11, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Правда жизни в том, что 5 дней распространялись сорцы с трояном. Такое тоже раньше было? :)
| |
|
4.39, anonymous (??), 09:54, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Да было такое. Попытки в мохнатых 1990-х подменить архивы tcpwrapper. Вовремя заметили благодаря подписанным MD5-суммам.
| |
4.45, Аноним (-), 13:32, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот Вы меня проприетарщики поражаете. Неужели Вы верите что до Microsoft жизни не было?
Была. И сети были и интернет и червь Моррисона, и операционные системы.
| |
4.50, User294 (ok), 14:44, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> тоже раньше было? :)
Да, было. А что в этом такого принципиально невозможного?
| |
|
3.44, bootforce (?), 13:14, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
зачем мне его обсирать, если это мой хлеб? я просто слежу за тенденциями, которые в том числе отражаются и в новостях на этом сайте.
| |
|
4.52, User294 (ok), 19:18, 03/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> зачем мне его обсирать, если это мой хлеб?
Не знаю. А в чем фокус - заявить "посыпались дыры" хотя у proftpd проблемы с секурити были и раньше, при том довольно суровые? oO
| |
|
|
|
|
2.6, Аноним (-), 19:57, 02/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.
| |
|
3.51, ххх (?), 17:41, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
> как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.
в ядре чего??
| |
3.53, User294 (ok), 21:07, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ага, разбежался... они только с**т в коментах. А эти ACIDBITCHES перед этим
> как раз дыру в ядре нашли-изучили и эксплуатировали 1,5 года.
Еще, судя по всему, те же кислотные сучки вбросили и бэкдор в Unreal IRCD (http://www.opennet.dev/opennews/art.shtml?num=26945). Префикс команды бэкдора AB как бы намекает чьих это рук дело. Там, кстати, как я понял тоже раздолбайское администрирование в основном виновато - не заметили взлом, подписей не было. Ради справедливости замечу что серваков с бэкдором в диком виде почти не попалось, хотя бэкдор анреала довольно долго валялся. Видимо эффективность таких атак не слишком высокая. Если из пакетов софт ставить - тут майнтайнеры скорее всего спасут ситуацию.
ЗЫ а от кислотных сук и польза есть - теперь народ будет читать сорцы, а не только качать и тупо компилить, гы-гы :). На то и щуки-сцуки, чтобы карась не дремал.
| |
|
|
1.4, Аноним (-), 19:41, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +19 +/– |
"Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта ProFTPD."
Сапожники блин, насмешили :-D
| |
1.8, Анон (?), 20:22, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.
От последнего обзаца улыбнуло: ProFTPD несвоевременно обновили ProFTPD.:))
| |
|
2.56, PereresusNeVlezaetBuggy (ok), 02:19, 04/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.
Так это... ресурс сей вроде бы в первую очередь про опенсорс пишет, не? А о дырках в пропиетарных программах тоже пишут, просто вы, видимо, в таких местах бываете реже. :)
| |
|
1.16, вывуыф (?), 21:26, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с официального сервера качалось, повезло)
| |
|
2.28, Аноним (-), 00:24, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с
> тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с
> официального сервера качалось, повезло)
1.3.3с в портах от 4-го числа (ноября): http://www.freshports.org/ftp/proftpd/, т.е. брали его с оф. сайта 4-го или раньше. все последующие правки внутре-фряшные, обычно для этого опять исходники не сгружают с оф.сайта, а работают над уже имеющимися.
| |
|
1.19, Аноним (-), 21:34, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету (что процессы proftpd например размножаются), а самим не обновить ПО на своем собственном сервере.
Или видимо у них разрабы отдельно, а одмин отдельно и он был в запое? :))
| |
|
2.21, deadless (?), 22:03, 02/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
> (что процессы proftpd например размножаются), а самим не обновить ПО на
> своем собственном сервере.
> Или видимо у них разрабы отдельно, а одмин отдельно и он был
> в запое? :))
потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак на 5...
| |
|
3.38, Иван (??), 09:47, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету
>> (что процессы proftpd например размножаются), а самим не обновить ПО на
>> своем собственном сервере.
>> Или видимо у них разрабы отдельно, а одмин отдельно и он был
>> в запое? :))
> потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак
> на 5...
А вы сами сразу обновляете ПО? Сразу после выхода новой версии/патча? Тогда наверно у вас максимум домашний сервер обслуживается...
| |
|
4.42, splat_pack (ok), 11:24, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
я укаждое утро открываю почту и вижу там отчет о том какой варез требуецо обновнить, иду на сервера и таки да, обновляю, если вы этого не делаете то ССЗБ. Или надеетесь на то что "я под линуксом, мне не страшно" что вобщем-то многих линуксоидов и отличает.
| |
|
5.54, User294 (ok), 21:11, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> я укаждое утро открываю почту и вижу там отчет о том какой
> варез требуецо обновнить, иду на сервера и таки да, обновляю,
А если лень читать - то уж хотя-бы пакетный манагер то пнуть можно, это ж просто и быстро. И майнтайнеры обычно оперативно реагируют на проблемы. Хотя лучше ессно использовать софт, авторы которого уделают безопасности должное внимание.
| |
|
|
|
|
1.24, Аноним (-), 23:22, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Они похоже исходники пересобрали, а сервер забыли перезапустить или их еще раз сломали.
$ telnet ftp.proftpd.org 21
Trying 188.40.77.49...
Connected to rsync.proftpd.de.
Escape character is '^]'.
220 Welcome to ftp.proftpd.org
HELP ACIDBITCHEZ
id ;
uid=0(root) gid=0(root) groups=0(root),65534(nogroup)
| |
1.25, anonymous_peer (ok), 23:42, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
1. Взломали сервер проекта, чтобы подменить архив с исходными текстами программы…
2. …который добровольно скачали и установили себе (с официального сервера!) множество пользователей…
3. Модифицированный ProFTPD предоставляет root-shell по команде "help кислотные с..и"…
4. В довершение всего сервер проекта ProFTPD был взломан благодаря уязвимости в самом же ProFTPD…
Я… я просто не знаю что сказать… :)
Просто EPIC FAIL !
Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.
| |
|
2.27, zazik (ok), 00:09, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> 2. …который добровольно скачали и установили себе (с официального сервера!) множество
> пользователей…
Насчёт множества я бы не говорил, у множества, я надеюсь, vsftpd или нечто подобное стоит.
| |
2.32, szh (ok), 03:12, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Потому что, похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только начало.
Трололо, на серверах Линукса десятки процентов уже на протяжении 8 лет, обрати наконец на это свое внимание.
ProFTPd это прежде всего серверный софт, его ломали не для того чтобы на домашние компы залезть.
Epic fail в твоей аргументации.
Где сломанный Апач, где сломанный VSFTPD, где сломанный kernel.org ? На 50% веб серверов не обратили внимание ?
| |
|
3.41, Аноним (-), 10:40, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
А зачем "десяткам процентов линуксов на серверах" файрфокс, хорг, опеноффис, всевозможные игрушки (с неконсольным интерфейсом!!!), видеопроигрыватели и прочая и прочая?
| |
|
4.43, szh (ok), 12:18, 03/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
десяткам процентов на серверах на прямую не нужны. Мы тут ProFTPD обсуждаем, а не опенофис с игрушками.
| |
|
|
2.48, Клыкастый (?), 14:22, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Хотя, и смешно, и грустно. Вкупе с последними похожими новостями. Потому что,
> похоже, на «1 % пользователей» наконец-таки обратили внимание, и это только
> начало.
вы прямо слово как инопланетянин. взломы были, есть и будут. отличие в том, что юниксы ломают достаточно продвинутые люди. на эпидемию это решительно не тянет и не потянет никогда. для сравнения: сколько proftpd загрузили за 5 дней? У меня vsftpd например. Юниксовый мир - это компот и зоопарк. Там в принципе сложно выйти на уровень эпидемии.
| |
|
|
2.30, Кир (?), 02:09, 03/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
Дооо, Апач -- такой совершенно никому не известный сервер, и сплошь дырявый, ну просто сплошь... Или vsftpd -- дырявый, прям жуть берет, только придурки из IBM и могут его рекомендовать...
| |
2.46, тоже Аноним (ok), 14:06, 03/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я вам больше скажу: весь софт - одна большая дыра. Совершенно безглючных программ не бывает (во всяком случае, среди тех, что развиваются).
Поэтому вы выбирайте: или пользоваться продуктами, разработчики которых не боятся обсуждения дыр, отслеживают их и оперативно закрывают, или верить, что проприетарные системы "просто сразу намного лучше" и отсутствие обсуждения дыр в них говорит в их пользу.
По мнению сторонников опенсурса, фраза "относительная, кажущаяся защищенность" - не о первом варианте, а о втором.
| |
|
1.36, bircoph (?), 09:20, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD
Замечу, не какого-то там проекта, а ProFTPD, из-за несвоевременного обновления ни чего-то там, а ProFTPD! Да они должны были первыми обновиться. Epic FAIL.
/me продолжает довольно использовать vsftpd.
| |
1.37, Амнезинус (?), 09:46, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>ACIDBITCHEZ
хм, это те самые ребята, которые под видом тестового эксплоита парили троян? :)
| |
1.62, Любящий мыслить (?), 20:16, 07/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А у меня постоянно тырят инфу с vsftpd. Сначала воруют у юзеров пароли, а потом с фтп скачивают. Было даже финальный релиз какого то проекта стырили вместе с дистрибутивом визуальной студии.
| |
|