T

obias Mädel 18 lipca opublikował szczegóły luki w kontroli dostępu w jednym z modułów serwera ProFTPD – popularnego daemona FTP o otwartym kodzie źródłowym dla systemów operacyjnych *nix. Luka o numerze CVE-2019-12815 za pomocą modułu mod_copy pozwala na wgranie dowolnego pliku na serwer. Jest to spowodowane faktem, że moduł ten nie przestrzega opcji konfiguracyjnych "<Limit READ>" oraz "<Limit WRITE>" z pliku proftpd.conf.
[ czytaj całość… ]

B

anner Grabbing jest bardzo prostą techniką zbierania informacji na temat wersji używanego oprogramowania. W kontekście administracji sieci komputerowych służy do rozpoznawania i zarządzania różnego rodzaju oprogramowaniem. Administratorzy mogą używać jej do wykonywania spisu systemów i usług uruchomionych w swoich sieciach. Niestety intruzi przechwytywanie banerów wykorzystują w tym samym celu – pasywnego zebrania największej ilości danych o oprogramowaniu znajdującym się w atakowanej sieci i sprawdzeniu czy uruchomione wersje nie są podatne na różne ataki przy pomocy exploitów.
[ czytaj całość… ]

P

rofesjonalny demon FTP posiada duże możliwości konfiguracji i składnię przypominającą plik konfiguracyjny serwera Apache. Obok demona Wu-FTP może pochwalić się szeregiem opcji niedostępnych w większości innych demonów ftp, w tym limitami dyskowymi, wirtualnymi serwerami i budową modularną pozwalającą na pisanie własnych modułów. Mimo, że jego dokładna konfiguracja może wymagać od nas większej uwagi (choć standardowa postać jego pliku konfiguracyjnego zapewnia już dość wysoki poziom bezpieczeństwa) serwer ten uważany jest za najbezpieczniejszy (korzystają lub korzystały z niego takie serwisy jak sourceforge.net oraz kernel.org).
[ czytaj całość… ]