Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости

Прошло уже полтора года с момента выхода прошлой версии вышел [2] релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость [3], которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "ошибка, приводящая к повреждению памяти".
В настоящее время опубликована подробная инструкция [4] с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который не опубликован [5] публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD [6], Ubuntu [7], Gentoo [8], Slackware [9], Mandriva [10], openSUSE [11], CentOS [12], Fedora [13], RHEL [14] и Debian [15]. Патч с исправлением уязвимости можно загрузить здесь [16].
Среди улучшений [17], добавленных в ProFTPD 1.3.4:

• Новые модули
  • mod_tls_memcache - использование mod_memcache/memcached для кэширования в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы ФТП-серверов;
  • mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
  • mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
  • mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
  • mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
• Новые директивы конфигурации
  • MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможностью блокирования клиента через mod_ban при превышении указанного порога;
  • ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
  • SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
  • TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
  • Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
  • SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
  • WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
• Упрощены директивы конфигурации mod_ldap;
• Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
• "Limit WRITE" теперь запрещает перемещение и переименования файлов вне директории, для которой задано ограничение;
• Прекращена поддержка директивы DisplayGoAway.