anonymous@RULINUX.NET~# Last login: 2024-11-05 16:24:50
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Вышел vsftpd 2.3.4 с устранением DoS-уязвимости

Выпущен корректирующий релиз надежного, защищенного и высокопроизводительного FTP-сервера vsftpd 2.3.4, который вышел почти сразу после версии 2.3.3 в которой была оперативно исправлена проблема со сборкой. Кроме исправления нескольких незначительных ошибок, в новой версии устранена уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки через исчерпание ресурсов CPU и достижения лимита на число соединений. Наличие проблемы подтверждено в vsftpd 2.3.2 и более ранних версиях.

Суть уязвимости связана с особенностями обработки масок, например, выполнив команду вида "STAT {{*},{*}....}" процесс будет выполняться значительное время, нагружая при этом CPU. Отправив на сервер скриптом несколько сотен подобных запросов можно блокировать его работу из-за исчерпания числа запущенных процессов-обработчиков (если не настроен лимит на число соединений с одного IP). Из FTP-серверов, которые используют устаревшие версии vsftpd отмечаются: ftp.gnu.org (2.0.6), ftp.kernel.org (2.2.2), ftpgen.wip4.adobe.com (2.3.2), ftp.oracle.com (2.0.5), ftp.freebsd.org (2.2.0).

Сайт проекта  http://vsftpd.beasts.org/

Копипаста Opennet.ru


>>> Подробнее

Id(*) (2011-03-02 11:24:59)


Подтверждено: vilfred(*) (2011-03-02 12:52:57)

[Ответить на это сообщение]

Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!