GwenDragon
Registered User
Du hast also auch den Quota-Patch drin? Und einfach irgendwo hin installiert?
Auch eine "Lösung".
ProFTPd 1.3.4 Sicherheitslücke "Remote Code Execution"
- Thread starter GwenDragon
- Start date
Auch eine "Lösung".
GwenDragon
Registered User
@Nuck Nuck
Blister suggeriert, dass ein Neukompilieren und Installieren des Proftpd aus den normalen Sourcen reicht, um funktionell dasselbe wie bei Plesks psa-proftpd zu haben.
Ich bin mir da nicht so sicher.
Und bislang ist eine Antwort auch nicht erfolgt, ob ProFTPd 1.3.4 wirklich funktionell ein störungsfreier Ersatz ist.
Blister suggeriert, dass ein Neukompilieren und Installieren des Proftpd aus den normalen Sourcen reicht, um funktionell dasselbe wie bei Plesks psa-proftpd zu haben.
Ich bin mir da nicht so sicher.
Und bislang ist eine Antwort auch nicht erfolgt, ob ProFTPd 1.3.4 wirklich funktionell ein störungsfreier Ersatz ist.
Joe User
Zentrum der Macht
GwenDragon
Registered User
@Joe User
Nanu, ein Hinweis auf einen 1 Jahr alten Security-Fix? Was soll uns das sagen?
Nanu, ein Hinweis auf einen 1 Jahr alten Security-Fix? Was soll uns das sagen?
S
stefans
Guest
Vielleicht, dass das Ding ziemlich löchrig ist
Oder, dass ein Patch am 29.10.2010 für eine Sicherheitslücke vorhanden war und Parallels ein Micro Update "schon" (wobei man jetzt über "schon" womöglich hier jetzt diskutieren soll) am 15.11.2010 bereitgestellt hat.
GwenDragon
Registered User
Sowas trägt nun wirklich nicht zur Klärung des Sachverhalts bei.
Wieso muss hier jetzt über so olle Kamellen geredet werden? Nach dem Motto: Plesk fixt zu spät? ProFTPd hat nur Sicherheitslöcher?
Ich finde es nicht praktikabel, dass hier keinerlei Problemlösungen geboten werden und stattdessen Bashing oder FUD anfängt.
Wieso muss hier jetzt über so olle Kamellen geredet werden? Nach dem Motto: Plesk fixt zu spät? ProFTPd hat nur Sicherheitslöcher?
Ich finde es nicht praktikabel, dass hier keinerlei Problemlösungen geboten werden und stattdessen Bashing oder FUD anfängt.
Last edited by a moderator:
D
Deleted member 10028
Guest
Ich bin kein Programmierer und verstehe den Sourcecode leider nur sehr flüchtig,
aber wenn es heißt, dass Bug XYZ in einer neuen Version behoben wurde, gehe ich logischerweise davon aus, das der Fehler somit behoben ist.
Belehrt mich bitte eines Besseren, wenn ich damit falsch liege.
aber wenn es heißt, dass Bug XYZ in einer neuen Version behoben wurde, gehe ich logischerweise davon aus, das der Fehler somit behoben ist.
Belehrt mich bitte eines Besseren, wenn ich damit falsch liege.
S
stefans
Guest
Selber kompilieren, auf Paketverwaltung warten (Patch) und/oder das Ding abstellen.
Dürfte doch "praktikabel" genug sein
Dürfte doch "praktikabel" genug sein
GwenDragon
Registered User
Meine Frage ging ja nicht dahin hin, ob kompilieren sinnvoll ist, sondern eher welche Dateien auszutauschen sind, wie das zu installieren ist (ich weiß wie make und make install laufen) und ob der in psa-proftp vorhandene Patch für Quota noch läuft. Darauf habe ich noch keine hinreichenden Antwort bekommen.
Aber vielleicht ist das zuviel verlangt, wenn jemand seine Erfahrung damit teilt.
Aber vielleicht ist das zuviel verlangt, wenn jemand seine Erfahrung damit teilt.
Also...
Ohne Gewähr - auf meinen Testserver habe ich soeben unter Plesk 10.3.1 auf Squeeze die alte Version 1.3.3e auf 1.3.4 aktualisiert.
Paket geladen, entpackt, configure + make, alte proftpd gesichert, neue in das Verzeichnis kopiert, Dienst neu gestartet (hoffe ich habe nichts vergessen zu listen).
Bestehenden sowie neuen Account auf 100MB Webspace gesetzt, FTP-Upload.
Bei ziemlich genau 100 MB Fehlermeldung - quota limit exceeded.
Hoffe das beantwortet die Frage. Oder habe ich was verpeilt bzgl. der Problematik? Wäre dann auch für mich interessant.
Ohne Gewähr - auf meinen Testserver habe ich soeben unter Plesk 10.3.1 auf Squeeze die alte Version 1.3.3e auf 1.3.4 aktualisiert.
Paket geladen, entpackt, configure + make, alte proftpd gesichert, neue in das Verzeichnis kopiert, Dienst neu gestartet (hoffe ich habe nichts vergessen zu listen).
Bestehenden sowie neuen Account auf 100MB Webspace gesetzt, FTP-Upload.
Bei ziemlich genau 100 MB Fehlermeldung - quota limit exceeded.
Hoffe das beantwortet die Frage. Oder habe ich was verpeilt bzgl. der Problematik? Wäre dann auch für mich interessant.
D
Deleted member 10028
Guest
Da ich kein Plesk/Confixx nutze, kann ich diesbezüglich auch keine Aussage treffen.
GwenDragon
Registered User
Ob das wohl für mich einen Grund hat, warum das hier genau unter Plesk steht und nicht bei Serverdienste -> FTP? 
Dann muss ich wohl damit leben, dass ich mich noch durch die C++-Sourcen quälen muss, um zu sehen, wo die Lücke ist, um das dann zu installieren.
Oder einfach auf SFTP umstelle, weil das weniger Zeit kosten, auch sicher ist.
Dann muss ich wohl damit leben, dass ich mich noch durch die C++-Sourcen quälen muss, um zu sehen, wo die Lücke ist, um das dann zu installieren.
Oder einfach auf SFTP umstelle, weil das weniger Zeit kosten, auch sicher ist.
D
Deleted member 10028
Guest
Da habe ich wohl nicht auf den Bereich geachtet, tut mir leid.
Joe User
Zentrum der Macht
Du kannst doch den Patch aus dem CVS nehmen und den Patch dann auf Deinen Source anwenden. So schwierig ist das eigentlich nicht.
GwenDragon
Registered User
Ich bin der Meinung, dass es nicht einfach ist, zu wissen wo sich in den Sourcen psa-proftp und proftp unterscheiden und ob der Ersatz das den Betrieb stören könnte.
Es ist mir nicht klar, ob proftpd statisch gelinkt ist oder mit libs und welche dann zusätzlich zur ausführbaren proftpd auszutauschen sind oder welche Module erneuert werden müssen.
Aber dazu gibt es ja wohl keinerlei Erfahrung, sonst würde ich nicht den diffusen Vorschlag bekommen, dass ich einfach neu kompilieren soll.
Es ist mir nicht klar, ob proftpd statisch gelinkt ist oder mit libs und welche dann zusätzlich zur ausführbaren proftpd auszutauschen sind oder welche Module erneuert werden müssen.
Aber dazu gibt es ja wohl keinerlei Erfahrung, sonst würde ich nicht den diffusen Vorschlag bekommen, dass ich einfach neu kompilieren soll.
Joe User
Zentrum der Macht
Den Unterschied in den Sourcen kannst Du mittels diff ganz einfach ermitteln.
Hat denn überhaupt schon jemand bei Parallels einen Bugreport eingereicht?
Da aber auch noch etliche Distributionen keine Updates bereitgestellt haben, könnte es so gar sein, dass der offizielle Patch nicht vollständig ist oder noch auf die Bugfixe für die anderen bekannten Sicherheitslücken gewartet wird.
Letztendlich ist das Alles auch egal, denn heutzutage sollte man ohnehin SFTP (bevorzugt direkt über OpenSSH) nutzen, oder zumindest einen erheblich sichereren FTPd als ProFTPd einsetzen.
Hat denn überhaupt schon jemand bei Parallels einen Bugreport eingereicht?
Da aber auch noch etliche Distributionen keine Updates bereitgestellt haben, könnte es so gar sein, dass der offizielle Patch nicht vollständig ist oder noch auf die Bugfixe für die anderen bekannten Sicherheitslücken gewartet wird.
Letztendlich ist das Alles auch egal, denn heutzutage sollte man ohnehin SFTP (bevorzugt direkt über OpenSSH) nutzen, oder zumindest einen erheblich sichereren FTPd als ProFTPd einsetzen.
Bierteufel
Registered User
Also für die CentOS / RHEL Fraktion gibt's im Atomic Repo das "Update"
GwenDragon
Registered User
Könnte Plesk heute ein Microupdate bereit gestellt haben, das die Lücke schließt?
PSA_10.3.1/microupdates/MU16/dist-deb-Debian-6.0-x86_64/proftpd
//EDIT
Könnte der Fix sein, denn autoinstaller3.log zeigt, dass /usr/sbin/proftpd gepatcht wurde.
root@server ~ # proftpd -vv
ProFTPD Version: 1.3.3e (maint)
Scoreboard Version: 01040003
Built: Tue Nov 22 2011 13:53:31 NOVT
Ich habe bei Plesk selbst nichts in der KB gefunden.
PSA_10.3.1/microupdates/MU16/dist-deb-Debian-6.0-x86_64/proftpd
//EDIT
Könnte der Fix sein, denn autoinstaller3.log zeigt, dass /usr/sbin/proftpd gepatcht wurde.
root@server ~ # proftpd -vv
ProFTPD Version: 1.3.3e (maint)
Scoreboard Version: 01040003
Built: Tue Nov 22 2011 13:53:31 NOVT
Ich habe bei Plesk selbst nichts in der KB gefunden.
Last edited by a moderator: