Критическая уязвимость в FTP сервере ProFTPd

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен высокий уровень опасности , так как она может применяться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP, злоумышленник может получить полный доступ к серверу. Если вы используете ProFTPD  на своих  серверах на Linux, то нужно либо внести ограничения, они описаны ниже, либо установить патч. 

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад.

Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora и остаётся неисправленной в Debian, SUSE/openSUSE, Ubuntu, FreeBSD, EPEL-7 (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy). 

Как устранить уязвимость ProFTPD? Необходимо скачать и установить патч

 
Источник

 

Как облако для бизнеса ускорит ваши сервисы?

Чтобы сдержать влияние кризиса и сократить затраты на ИТ-инфраструктуру, компании все чаще выбирают миграцию в публичное облако для бизнеса своих основных ИТ-приложений, например 1С.  Мы обновили свою инфраструктуру в облаке именно с учетом работы тяжелых приложений, таких как 1С Предприятие,  и нашего предыдущего опыта работы с данными клиентов и оценке их производительности в облаке. И вот к каким выводам пришли:

13 июня, 2020
Выпущен релиз Ubuntu 20.04 LTS. Что нового?

Выпущен новый релиз Ubuntu версии 20.04 с кодовым названием Focal Fossa и разработчики позиционируют Ubuntu 20.04 как важное и успешное обновление с поддержкой в течение следующих 5 лет. Что нового в данном релизе и как обновиться с предыдущих версий?  

24 апреля, 2020
Обновления в облаке - Апрель

Обновили шаблоны операционных систем для быстрых серверов, уже содержат последние обновления безопасности. Добавили оптимизированные шаблоны для запуска 1С Битрикс, улучшили производительность битрикс до 195 пунктов. 

20 апреля, 2020