We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on Vesta 2.0 and expect to release it by the end of 2024. Read more about it: https://vestacp.com/docs/vesta-2-development
В FTP-сервере ProFTPD обнаружена критическая уязвимость
В FTP-сервере ProFTPD обнаружена критическая уязвимость
В популярно программном обеспечении ProFTPD обнаружена критическая уязвимость, которая позволяет удаленно выполнить произвольный код! Уязвимости подвержены миллионы серверов. Срочно обновите свои операционные системы и наборы ПО.
Подробнее об уязвимости:
https://www.cert-bund.de/advisoryshort/CB-K19-0642
https://www.securitylab.ru/news/500028.php
Подробнее об уязвимости:
https://www.cert-bund.de/advisoryshort/CB-K19-0642
https://www.securitylab.ru/news/500028.php
Re: В FTP-сервере ProFTPD обнаружена критическая уязвимость
Читал на опеннете. Повезло что я не успел перейти на него, об уязвимости сообщили ещё осенью прошлого года, а патч выпустили только пару дней назад. Пожалуй так и останусь на vsftpd
Re: В FTP-сервере ProFTPD обнаружена критическая уязвимость
Нафига такие сложности и метания..О ней было известно давно,кто еще не отключил mod_copy.c отключаем сейчас
Зайдите на сервер по ssh. В любом текстовом редакторе (vim, nano и т.д.) отредактируйте файл модулей /etc/proftpd/modules.conf. Найдите строку LoadModule mod_copy.c и поставьте перед ней символ решётки. Сохраните файл и перезапустите локальный FTP-сервер, чтобы настройки применились.
Тем, у кого Centos 6 и 7 или FreeBSD 11 и 12, совет иного рода — выдохните и дождитесь выпуска обновлённой версии. Там модуль отключен. Я еще сразу при установке в ProFTPD этот модуль отключал.
И уязвимость позволяет в папку tmp залить и переместить из нее куда угодно что угодно,хоть тот же шелл например...Из всего что видел из последствий этой уязвимости - сервер сам не взломали а вот некоторые пароли к БД,админкам установленных на этом сервере сайтов получили.Либо удалось поменять на свои.
Re: В FTP-сервере ProFTPD обнаружена критическая уязвимость
Неожиданно, но в свежей установке c Debian10 , этот баг не поправлен. Хорошо что увидел тему. Поправил файл. спасибо.
ProFTPD Version 1.3.6
ProFTPD Version 1.3.6