- blogs:
- cles::blog
)
ProFTPD の脆弱性に注意(CVE-2019-18217)
proftpd cve ProFTPDに 新たな脆弱性が見つかったようなのでメモ。
ビジーループによる DoS ということなので、乗っ取られたりすることはないようですが、注意が必要ですね。
- ProFTPDの脆弱性情報(Moderate:CVE-2019-18217) - OSS脆弱性ブログ
- CVE-2019-18217
- Remote denial-of-service due to issue in network IO handling · Issue #846 · proftpd/proftpd
ProFTPd の mod_copy の脆弱性に注意(CVE-2019-12815)
proftpd cve ProFTPd の mod_copy に脆弱性が見つかっていたのでメモ。
vsftpd と比べると pam を使わなくても MySQL などと連携できたりとカスタマイズが楽なので使っている人も多いと思います。
mod_copy は SITE CPFR と SITE CPTO を実装しているようですが、このコマンドはサーバ上Yでファイルがコピーできるといいう機能のようですね。SITE なので、必要がなければ Off にしてしまってもいいのかもしれません。
100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を | マイナビニュース
ドイツのセキュリティ研究者であるTobias Madel氏が、mod_copyモジュールに脆弱性が存在しており、書き込み権限を持っていないユーザーが権限を超えた操作ができてしまうことを明らかにした。
† 参考
- 1 Million+ ProFTPD Servers Vulnerable To Remote Code Execution Attacks
- tbspace - ProFTPd CVE-2019-12815
- bug 4372 – SITE CPFR/CPTO do not honor
configurations - Bug #4372: Ensure that mod_copy checks for <Limits> for its SITE CPFR… by Castaglia · Pull Request #816 · proftpd/proftpd
Proftpd を 1.3.3c にアップデート
proftpd ProFTPdに脆弱性があることをセキュリティホール memo経由で知ったので早速アップデート。
SecuniaのAdvisoryも「ProFTPD Directory Traversal and Buffer Overflow Vulnerabilities - Advisories - Community」という形で出ているようです。
ProFTPD 1.3.3b 以前? に欠陥。 TELNET_IAC エスケープシーケンスの処理に欠陥があり、stack overflow が発生。remote から任意のコードを実行できる。
ProFTPD 1.3.3c で修正されている。
いつも手順を忘れるので、以下インストール手順メモ。
[Proftpd を 1.3.3c にアップデート の続きを読む]
ProFTPDでFTPSを使えるようにする
proftpd ssl 折角なのでサーバにインストールしてあるProFTPDもFTPS対応にしておくことにします。
とりあえず「FTPS(FTP over SSL)環境構築」の解説を参考に設定ファイルを下記のように変更して、デーモンの再起動しました。
ココまではスムーズでした。
ところが、FileZillaから接続しようとすると "GnuTLS error -9: A TLS packet with unexpected length was received." と言われてコケてしまいます。どうやらFileZillaの実装の問題のようで、ProFTPDでも最新のバーションであればfixされているという情報を見つけたので、ProFTPDのアップデートをしたところ正常に接続できるようになりました。
[ProFTPDでFTPSを使えるようにする の続きを読む] FFFTPがNLST問題に対応
proftpd rfc しばらくぶりにFFFTPがバージョンアップしたようです。
窓の杜 - 【NEWS】人気FTPクライアント「FFFTP」がおよそ1年11カ月ぶりにバージョンアップ
ファイル一覧の取得に初期状態で“LIST”コマンドを使用するように仕様変更したこと。以前のバージョンにも“LIST”コマンドを使用する設定はあったものの、初期状態ではRFCの定めるFTP標準規格に現在では非準拠の“NLST -R”コマンドを使用していたため、設定変更しないと一部サーバーではエラーが発生することがあった。
これによってFFFTPとProFTPdの相性がよくない問題が改善されるようです。ただ、デフォルトが変更されただけのようなので、以前の設定分は変更されないみたいです。
サーバの提供者は利用者にクライアントのバージョンアップを強制することはできないわけで、結局パッチはしばらく活躍しそうな感じですね。
[FFFTPがNLST問題に対応 の続きを読む]
ProFTPd 1.2.10 と FFFTP の相性問題解決!
proftpd 先日、ProFTPDを1.2.10にするとFFFTPからファイルが見えないので、やむなく1.2.9に戻したということを書きました。
その後はそのまま1.2.9で運用を続けていたのですが、mmさんがこの問題を解決するパッチを作ってくださったことをトラックバックでお知らせいただきましたので、改めて1.2.10に挑戦することにしました。
[ProFTPd 1.2.10 と FFFTP の相性問題解決! の続きを読む] 続・ProFTPdでquota
proftpd rfc 先日の作業でquotaの導入がうまくいったので素直に喜んでいたのですが、愛用しているFFFTPからアップしたファイルが見えないことが判明。
さて、困った。
[続・ProFTPdでquota の続きを読む] ProFTPdでquota
proftpd 仕事用でサーバでホスティングをすることになったので、FTPサーバを作ることになりました。
幸いサーバにはProFTPdがインストールしてあったので、楽勝だと思っていたのですが、「ユーザーに容量を際限なく使われると困るのでなんとかquota*1をかけたい」といわれてしまったので、それを実現すべくいろいろと調べてみました。
[ProFTPdでquota の続きを読む] )- sadpkv
- CACHEMANAGER.phpというのはどうだろうかと
- pairb1m
- Lightning のToDoリストを複数のPCで共有できるアドオン
- majodca
- 九州旅行から帰ってきました
- majodca
- 九州旅行から帰ってきました
- hot534
- yum を使って OpenVPN をインストールする
- dresssu3
- NP_Trackbackを騙るトラックバックspamについて
- zippern7o
- NP_SpamBayesJP jp1b
- park81o
- Google Docs をメールフォームとして使う
- fogmpl
- なんで官庁の文章はPDFなんだろうか
- cutjw9
- 即席スライドショーを作る
- frightenlho
- 添付ファイルの容量を表示する「Attachment Sizes」
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(5022)
3 . GitHub が全ての公開リポジトリへのシークレットスキャンを有効に(4164)
4 . 年次の人間ドックへ(4092)
5 . 2023 年分の確定申告完了!(1つめ)(3948)
Academic[574]
Book[155]
Diary[522]
Disaster[101]
Foodlogue[1425]
Game[284]
Goods[805]
Healthcare[341]
Hobby[32]
IT[1195]
Military[343]
misc.[1570]
Mobile[510]
Music[38]
Neta[106]
News[95]
Photo[391]
RealEstate[120]- Security[1178]
SEO Contest[36]- Software[634]
- Tips[1886]
Travelogue[1238]
Web[675]
Work[193]
