В поставляемом в составе FreeBSD сервере ftpd выявлена критическая уязвимость (CVE-2020-7468), дающая возможность пользователям, ограниченным своим домашним каталогом при помощи опции ftpchroot, получить полный root-доступ к системе...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53720
Мощно. Но лучше поздно, чем никогда.Вместо ftpd на всех бывших и единственном оставшемся FTP-сервере всегда крутились vsftpd.
А вот bhyve надо будет обновить. Там сказано что с root'ом в госте надо, но если гость - W2012, то там это аналогично админу?
> Вместо ftpd на всех бывших и единственном оставшемся FTP-сервере всегда крутились vsftpd.то есть вместо крайне ограниченного в возможностях и вдоль и поперек изученного демона - блоатварь с ничем неподтвержденной претензией на безопасТность.
Ну да, ну да.Белки истерички любят сами себе вырывать ямки.
P.S. отдельно рекомендую подумать, кому вообще еще есть чем, с хрена ли в принципе может НЕ выполниться команда seteuid или chdir в нормально настроенной системе, и каковы лично ваши шансы на это.
Насколько понимаю, минимум два (если не все три) моих знакомых разработчика owl посмотрели vsftpd и остались довольны. Так что можете не истерить. :)
>owlовервотч лигу разрабатывают?
Нет, это в Сколково разрабатывают))
Бихайву похоже уделяют недостаточно внимания, а жаль. Ошибки не сказать чтоб нетривиальные. Столько лет, а гипервизор сырой.
> Бихайву похоже уделяют недостаточно внимания, а жаль.ну а кому он нужен вообще, и сколько из них не только имеют время и вдохновение, но еще и умеют кодить?
К сожалению, сейчас увидеть фрю в виртуалке можно примерно раз в сто чаще чем виртуалку во фре. И та будет vbox, потому что установлена пять лет назад.
Я вообще не понимаю, зачем проект без ресурсов и денег тратил на это время, когда можно и _уже_было_ сделать нормальный порт xen dom0 - его два раза поднимали, и оба раза он ломался из-за обычного "stable api nonsense", потому что некому было поддерживать.
А это дало бы интеграцию в корпоративные системы, и, может быть, при большой удаче - удалось бы подвинуть оттуда часть линyпсни, за счет лучшей производительности и более удобного управления.
А так - в маргинальной ос, используемой полутора васянами, нашли проблему в маргинальной виртуализации, используемой нулем васянов. Ну и похрен.
Потому что налимонивали на лицензию. Ксен ведь под жпл. Очевидно, что поборникам лицензионной чистоты он не интересен, как и квм, который, если мне не изменяет память, был в виде ядерного модуля.
> Потому что налимонивали на лицензию.Ну, после приключений с gcc, дуть на воду неудивительно, но вообще-то можно было и мозг использовать - что xen принадлежит вполне себе коммерческой компании, не особо топящей за шва6одку и изрядно уже от нее самой пострадавшей.
Он, собственно, лежал себе в портах, как и масса другого gpl-софта, никому не мешая. kvm был полуработающий proof-of-concept, и там не только лицензия, но и крысятник тот самый, stable api nonsense, плюс сам по себе kvm абсолютно бесполезная неудобная хрень, а тащить еще и gpl-обертки принадлежащие опять же соседним крысятникам смысла было ноль.
В результате пять лет потрачены на хрень, которой даже эмулятор vga запилить было выше человеческих возможностей - смотреть на приключения героев, сумевших установить там какую винду вслепую (даже работало) было крайне занимательно, поучительно, но совершенно непрактично.
Сейчас уже вроде бы и можно кое-как пользоваться, но все кому было надо - давным-давно просто сменили платформу.
>2k2д
>ftpВместо rsync over ssh или rsyncssl? Сурьезна?
Безопасность BSD снова под угрозой!
Перефразируя старый анекдот:-- Безопасная БСД.
-- Безопасная что?
а вот если бы ftpd был написан на Rust...капча 37337 кагбэ намекает
КГБ намекает.// b.
Это слишком сложно для раста.
Раст сам за программиста решает, какие ошибки системных вызовов считать фатальными, а какие — нет?
Если бы был написан на раст то он бы просто не работал от слова совсем. Но зато да, безопасно.
Ван не нравится что уязвимость выявили или о том что о ней рассказали?
Мне вот видно, что за этот год активно выявление и решение уязвимостей в БСД.
Будь это докер, уже бурлило бы в комментах. Местная публика такая, не мешки ворочает.
Может беда не в мешках, а в том, что докер в дохрена раз более востребован? Потому и бурлений больше.
Продолжай верить в востребованность докера. Вера никогда не имела ничего общего с реальностью.
У него просто опечатка в слове "хайпован".Практически ВСЕ виденные мной использования голого доскера (и изрядная часть - доскера в обертках) не имели ни малейшего смысла - все то же самое с примерно теми же трудозатратами могло быть оформлено нормальными пакетами для нормальной системы (хоть bsd)
При этом оно бы меньше жрало и меньше бы тормозило, а так же жрало бы меньше времени и ресурсов для сборки.
Но дЭффективным менеджерам нравится, а эта ваша бе-ес-де - нимодна и устарело.
> Проблема вызвана сочетанием ошибки в реализации механизма изоляции пользователя при помощи вызова chrootИ ни слова про докер... А, его же тут нет, вспомнил.
>> Проблема вызвана сочетанием ошибки в реализации механизма изоляции пользователя при помощи вызова chroot
> И ни слова про докер... А, его же тут нет, вспомнил.Причем тут ваш дыркер? И с каких пор оно стало "механизмом изоляции"?
И стоило из за такое ерунды новость писать? Будто фтп ещё активно используется. Но да будет срач на радость публике.
> И стоило из за такое ерунды новость писать?Так и запишем, BSD - ерунда.
Не получиться. Врятли даже писать умеешь.
Чья бы мычала :)
Ну как же — ерунда? Написать такой код для изоляции, который не только не изолирует, но ещё и рута позволяет получить, — это уметь надо!
Кто активно пользуется тот пассивно обновляется.
Насколько я помню фряху, там был какой то левый ftpd который даже демоном работать не мог и работал только через xinetd :(
Так в том и соль, если конечно я правильно понял.
Маны не читай, комменты пиши... ключ -D
"левой" функциональностью в _нормальной_ юникс-среде является именно умение работать ненужно-демоном (с кучей прекрасных возможностей запутаться в собственных шнурках), когда для этой цели уже существует общесистемный механизм.
Это фича, а не баг.
Так вместо ftpd мы же давно используем proftpd.
Вот у него как раз баланс фич к дыркам исторически перекошен в другую сторону...
у него вообще дыра на дыре дырой погоняет - но зато "pro", пипл любит все "pro".
Ну да, proftpd то ещё решeто в бытности.
Но зато на нём можно творить то, что на всяких прочих без костылей не сделаешь никода.
Шаред хостинг кластерный например разрулить для клиентов единой точкой входа.
И SFTP/SCP ещё к этому сверху навесить, не давая доступа к системному sshd.
Авторизацию из базы данных.
И т.п.
freebsd-update fetch install
Looking up update.FreeBSD.org mirrors... 3 mirrors found.
Fetching metadata signature for 12.1-RELEASE from update1.freebsd.org... done.
Fetching metadata index... done.
Fetching 2 metadata patches.. done.
Applying metadata patches... done.
Inspecting system...
done.
Preparing to download files... done.
Fetching 26 patches.....10....20... done.
Applying patches... done.
Fetching 2 files... . done.
The following files will be updated as part of updating to
12.1-RELEASE-p10:
/bin/freebsd-version
/boot/kernel/if_ure.ko
/boot/kernel/kernel
/boot/kernel/linux_common.ko
/boot/kernel/vmm.ko
/rescue/[
/rescue/bectl
/rescue/bsdlabel
/rescue/bunzip2
/rescue/bzcat
/rescue/bzip2
/rescue/camcontrol
/rescue/cat
/rescue/ccdconfig
/rescue/chflags
/rescue/chgrp
/rescue/chio
/rescue/chmod
/rescue/chown
/rescue/chroot
/rescue/clri
/rescue/cp
/rescue/csh
/rescue/date
/rescue/dd
/rescue/devfs
/rescue/df
/rescue/dhclient
/rescue/disklabel
/rescue/dmesg
/rescue/dump
/rescue/dumpfs
/rescue/dumpon
/rescue/echo
/rescue/ed
/rescue/ex
/rescue/expr
/rescue/fastboot
/rescue/fasthalt
/rescue/fdisk
/rescue/fsck
/rescue/fsck_4.2bsd
/rescue/fsck_ffs
/rescue/fsck_msdosfs
/rescue/fsck_ufs
/rescue/fsdb
/rescue/fsirand
/rescue/gbde
/rescue/geom
/rescue/getfacl
/rescue/glabel
/rescue/gpart
/rescue/groups
/rescue/gunzip
/rescue/gzcat
/rescue/gzip
/rescue/halt
/rescue/head
/rescue/hostname
/rescue/id
/rescue/ifconfig
/rescue/init
/rescue/ipf
/rescue/iscsictl
/rescue/iscsid
/rescue/kenv
/rescue/kill
/rescue/kldconfig
/rescue/kldload
/rescue/kldstat
/rescue/kldunload
/rescue/ldconfig
/rescue/less
/rescue/link
/rescue/ln
/rescue/ls
/rescue/lzcat
/rescue/lzma
/rescue/md5
/rescue/mdconfig
/rescue/mdmfs
/rescue/mkdir
/rescue/mknod
/rescue/more
/rescue/mount
/rescue/mount_cd9660
/rescue/mount_msdosfs
/rescue/mount_nfs
/rescue/mount_nullfs
/rescue/mount_udf
/rescue/mount_unionfs
/rescue/mt
/rescue/mv
/rescue/nc
/rescue/newfs
/rescue/newfs_msdos
/rescue/nos-tun
/rescue/pgrep
/rescue/ping
/rescue/ping6
/rescue/pkill
/rescue/poweroff
/rescue/ps
/rescue/pwd
/rescue/rcorder
/rescue/rdump
/rescue/realpath
/rescue/reboot
/rescue/red
/rescue/rescue
/rescue/restore
/rescue/rm
/rescue/rmdir
/rescue/route
/rescue/routed
/rescue/rrestore
/rescue/rtquery
/rescue/rtsol
/rescue/savecore
/rescue/sed
/rescue/setfacl
/rescue/sh
/rescue/shutdown
/rescue/sleep
/rescue/spppcontrol
/rescue/stty
/rescue/swapon
/rescue/sync
/rescue/sysctl
/rescue/tail
/rescue/tar
/rescue/tcsh
/rescue/tee
/rescue/test
/rescue/tunefs
/rescue/umount
/rescue/unlink
/rescue/unlzma
/rescue/unxz
/rescue/unzstd
/rescue/vi
/rescue/whoami
/rescue/xz
/rescue/xzcat
/rescue/zcat
/rescue/zdb
/rescue/zfs
/rescue/zpool
/rescue/zstd
/rescue/zstdcat
/rescue/zstdmt
/sbin/dhclient
/usr/include/netinet/sctp_structs.h
/usr/include/netinet/sctputil.h
/usr/lib/debug/boot/kernel/if_ure.ko.debug
/usr/lib/debug/boot/kernel/kernel.debug
/usr/lib/debug/boot/kernel/linux_common.ko.debug
/usr/lib/debug/boot/kernel/vmm.ko.debug
/usr/lib/debug/sbin/dhclient.debug
/usr/lib/debug/usr/libexec/ftpd.debug
/usr/libexec/ftpd
/usr/src/libexec/ftpd/ftpd.c
/usr/src/sbin/dhclient/options.c
/usr/src/sys/amd64/vmm/amd/svm.c
/usr/src/sys/amd64/vmm/amd/vmcb.h
/usr/src/sys/amd64/vmm/intel/vmx.c
/usr/src/sys/compat/linux/linux_emul.c
/usr/src/sys/conf/newvers.sh
/usr/src/sys/dev/usb/net/if_ure.c
/usr/src/sys/netinet/sctp_input.c
/usr/src/sys/netinet/sctp_output.c
/usr/src/sys/netinet/sctp_pcb.c
/usr/src/sys/netinet/sctp_structs.h
/usr/src/sys/netinet/sctputil.c
/usr/src/sys/netinet/sctputil.h
Installing updates... done.
Хорошо что FTP умер и нигде не используется :))
Хрен там, а не умер.
На шаред хостингах сплошь и рядом.
В разновидностях типа FTPS в т.ч., которые ещё большая беда через файрволы, чем сам FTP.
> В разновидностях типа FTPS в т.ч., которые ещё большая беда через файрволы, чем сам FTP.я тут, кстати, захотел было предоставить гражданам ftps, тем кто неспособен использовать opie по причине винды головного мозга.
Выяснилось пренеприятное: для него никто и никогда не написал ни одного нормального клиента, ну то есть вот вообще. (Под нормальным понимается умеющий хотя бы CCC, а в идеале еще и не шифровать то что в шифровании вообще не нуждается, ломая sendfile и пожирая процессор.)
Причем в серверах все есть и работает.Едиственный же клиент - lftp. Ну это во-первых "русские делали", во-вторых универсальный комбайн, который просто не может работать хорошо (в том числе и потому что подменяет прямую реализацию собственным альтернативным умствованием), да еще и с настройками через анус.
С линуксным контреком договориться у него при этом получается через раз, причину я так и не выяснил, но, по ощущениям - он сам по себе делает что-то на редкость криво.
Хотя, казалось бы, при наличии готовой openssl - задача попатчить любой старинный ftp - на два часа хорошему разработчику.
Не, ну гражданам файлзиллы хватит. Под любую платформу.
А вот для системных применений я можно сказать даже и не искал... проще сразу SFTP или SCP.
> Не, ну гражданам файлзиллы хватит.у граждан с файлзилой по определению nat. А CCC она не умеет, к моему изумлению.
> А вот для системных применений я можно сказать даже и не искал...
для системных применений я скорее обойдусь без шифрования вообще - незасветку пароля обеспечит s/key с вполне достаточной надежностью.
> проще сразу SFTP или SCP.
я не готов предоставить всем желающим (системам) shell equivalent на том хосте.
И гоняться с подпорочками и замазочкой, пытаясь предотвратить получение в ста возможных местах непредусмотренных дырок - не собираюсь тоже.Тем более неинтересно мне сотни гигабайт качать без sendfile и с нагрузкой на процессор.
> я не готов предоставить всем желающим (системам) shell equivalent на том хосте.Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.
> Тем более неинтересно мне сотни гигабайт качать без sendfile и с нагрузкой на процессор.
А вот это да, увы. Любое шифрование сразу отметает шуструю передачу. В пределах изолированной сети конечно лучше FTP в этом плане сложно чего-то подсказать. Разве что HTTP GET/PUT.
> Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.ну вот тем и ценен ftp - что это протокол доступа к файлам (больше чем просто "скачать один").
> А вот это да, увы. Любое шифрование сразу отметает шуструю передачу.
в ftp для этого предусмотрен фаллбэк на нешифрованную передачу. Причем ничто не мешает после этого скачать любимый .sha256 уже защищенным способом.
Проблема, повторяю, в полном отсутствии на сегодня работоспособных клиентов.
> В пределах изолированной сети конечно лучше FTP в этом плане сложно чего-то подсказать.
я вот слил сейчас (оказавшееся у меня поврежденным при переездах) полное зеркало opensuse 11.4 и 12.1 - что-то около 200G, через ужасный неизолированный интернет. И решительно не боюсь страшных и ужасных васянов, подбросивших мне неправильные байты. Во-первых, в крайнем случае я могу перепроверить gpg ключи, во-вторых - у васяна жопа лопнет, пытаясь вмешаться в этот поток и прицельно там что-то поменять, так чтоб не обрыв соединения вызвать, а что-то более интересное.
А АНБ, ЦРУ, Моссад и ФСБ разом конечно могли бы такое провернуть, но во-первых, они за мной в данную минуту не охотятся, у них выходной - велено трубить в шофар, жрать яблоки и каяться, солнце еще не село.
Во вторых им проще и быстрее попатчить прямо на сервере, и уже будет неважно, каким протоколом я качаю.
>> Ну, в ProFTPd никакого shell equivalent нет, всё эмулируется.
> ну вот тем и ценен ftp - что это протокол доступа к файлам (больше чем просто "скачать один").Это да. Но я имел в виду SFTP/SCP модуль в ProFTPd.
> Хрен там, а не умер.
> На шаред хостингах сплошь и рядом.Ну так всё правильно: шаред-хостинги тоже давно померли.
Это, мягко говоря, заблуждение
> Это, мягко говоря, заблуждениеНу, скажем так - сильно болеют и дышат на ладан.
Потому что в эпоху гуглоинтернета принято платить не за хостинг, а за сервис целиком. Соответственно, остались только сайты мелких лавок, у которых сервис не интернетный (причем попробуй вот угадай что сегодня неинтернетное - как насчет выгула собак?) или дядин (то есть нет своего "приложения", есть приложение-в-контакте), а сайт приличие обязывает иметь.
Обычно там только телефон и позвоните-нам. Соответственно, и продавцы услуги тоже почти все сдохли.В целом и это уже можно перевыложить в какой-нибудь as-a-service, но обычно дороже, если прикованный вебдевелопер и так есть.
У нас полно интернет-магазинов хостится. В т.ч. производители, а не перепродавцы.
Но то Европа, там сфера услуг не мертва, и материальное производство не госконтрактное, и не помирает :)Хотя пара сайтов госконтрактников тоже имеется.
Думаешь как так получается?- [Я/софт/мой вёбмастер/мой кот] по-другому не умеет.
- [Мне/моему вёбмастеру/моему коту] так проще.
- [Я/мой вёбмастер/мой кот] так привык.
- ХАЧУFTP!!!111
нормально ftp живёт и везде используетсясверить два репозитория в двух панелях mc, поубирать всё ненужное и скопировать - альтернатив этому просто нет
В mc вполне себе есть поддержка SFTP / shell.
А во FreeBSD и в OpenBSD один и тот же ftpd или разные? OpenBSD ftpd, помнится, хвалили как очень безопасный, как и всё в OpenBSD.