Nedavno se pojavilo CERTovo upozorenje o ranjivosti pakta proftpd, popularnog softvera za FTP servis. Evo što kaže upozorenje:

"U radu ProFTPD poslužitelja uočena su dva sigurnosna nedostatka vezana uz neispravno procesiranje LF znakova pri prijenosu ASCII datoteka. Propusti su posljedice "off-by-one" pogrešaka pronađenih u funkciji "_xlate_ascii_write()". Spomenute nedostatke udaljeni napadač može iskoristiti ako osjetljivom poslužitelju pošalje pažljivo kreiranu "RETR" naredbu koja će uzrokovati prepisivanje spremnika. Uspješnom zloupotrebom potencijalni će napadač dobiti mogućnost izvršavanja proizvoljnog programskog koda na ProFTPD poslužitelju s root ovlastima."

Otišao sam na CCERTov web kako bih provjerio koliko se često spominje taj program. Tražilica odmah izbaci nekoliko rezultata:

Pronađeno rezultata: 15

Updated proftpd packages fix remote root vulnerability

Proftpd running as root, /var symlink removal

ASCII File Remote Compromise Vulnerability

Updated proftpd packages fix remote root vulnerability (Rev.1)

New proftpd packages fix SQL injection

Više rezultata...

Po svemu sudeći ova implementacija FTP poslužitelja ima poprilično problema. Možda je vrijeme za zamjenu tog softvera? Potraga za alternativom nužno vodi do još jedne popularne implementacije, one Washingtonskog sveučilišta. Što kaže CCERTova baza:

Pronađeno rezultata: 58

Updated wu-ftpd packages are available

Updated wu-ftpd packages fix incorrect dependency on xinetd

wu-ftpd

Wu-ftpd fb_realpath() off-by-one bug

Updated wu-ftpd packages fix remote vulnerability

Više rezultata...

Sa 58 pronađenih alerta čini se da je wu-ftpd još "bagovitiji".

Raspitivanje kod kolega i surfanje webom izbacilo je zanimljivog kandidata: vsftpd. Provjera popisa Debianovih paketa pokazuje da već postoji gotov paket.

CCERT ima samo jedan alert:

Pronađeno rezultata: 1

Updated vsftpd packages re-enable tcp_wrappers support

Upozorenje važi samo za RedHatov paket. Dečki iz RedHata su odlučili da vsftpd više neće pokretati xinetd, pa su ga prekompajlirali da radi kao "standalone" proces, ali su zaboravili ukompajlirati podršku za tcpwrappere. Dakle nije greška u softveru, nego u paketu.

Čini se da smo time dobili realnog kandidata za novi poslužiteljski softver. Vsftpd je, kažu, malen, brz, pouzdan, nema toliko mogućnosti konfiguracije kao proftpd, ali se te brojne mogućnosti ionako rijetko koriste.

Nakon uklanjanja proftpd paketa, instalacija prolazi glatko. Servis je nakon toga bez problema. Jednio što sam ustanovio jest da vsftpd u podrazumijevanoj konfiguraciji otvara mogućnost anonimnog pristupa. Trebalo je samo zakomentirati par redaka u /etc/vsftpd.conf i restartati ga.

anonymous_enable=YES

treba promijeniti u

anonymous_enable=NO

Sistemci će možda htjeti podesiti još nekoliko opcija:

ascii_upload_enable=YES

ascii_download_enable=YES

i

xferlog_enable=YES

kako biste u logovima bilježili transakcije.

Svim sistemcima koji vole biti na oprezu i preduhitriti moguće probleme možemo preporučiti instalaciju vsftpd paketa.