ProFTPD Remote Code Execution Vulnerability and Exploit

Me llegó anoche (hora de España) un email de Parallels advirtiendo de un bug bastante grave en prácticamente todas las versiones de Parallels Plesk Panel, incluyendo la versión 10.

El problema está en ProFTPd:
http://bugs.proftpd.org/show_bug.cgi?id=3521

Estamos esperando que Parallels saque "hotfixes" durante el día de hoy.
Mientras tenemos dos opciones:
- Deshabilitar el servicio FTP
- Instalar una actualización desde Atomic Rocket Turtle

Para actualizar desde Atomic Rocket Turtle:

CODE, HTML o PHP Insertado:

# wget -O - http://www.atomicorp.com/installers/atomic |sh
# yum upgrade psa-proftpd

No recomiendo la segunda opción porque luego rompe las dependencias de algunos paquetes e impide que funcione correctamente el actualizador de Plesk:

CODE, HTML o PHP Insertado:

Determining the packages that need to be installed.
ERROR: Unable to proceed with the installation until the package psa-proftpd-1.3.3c-2.el5.art.x86_64 is removed from the system.
Not all packages were installed.

Mas info:
http://www.parallels.com/es/products/plesk/ProFTPD

 

Parallels ya ha sacado los hotfixes y es seguro actualizar desde el panel o desde S.O.

Ya las hemos probado y hemos actualizado todas las máquinas sin problema, tener en cuenta que el BUG SOLO afecta a las versiones 9.x en adelante.

MUCHO CUIDADO con la actualización mediante Atomic Rocket Turtle te actualiza también php y mysql y puede dejar el panel fuera de línea.

 

Decían que informarían de los hotfixes en http://www.parallels.com/es/products/plesk/ProFTPD pero aún no veo nada
Por otro lado, joder, más de 10 días para sacar un parche en un bug tan serio, y tener que recurrir a terceros, es para matar a Parallels, y te preguntas dos cosas: por qué leches estás pagando ese precio y cuántos desarrolladores trabajan en parallels.
Muy mal por ellos.

 

Utiliza

/usr/local/psa/admin/sbin/autoinstaller

Te instalará los fix.

El aviso llego hace algún tiempo, pero era confidencial, el tiempo que han tardado, pues la verdad a veces no es tan rápido preparar y probar un parche, normalmente tienes que probarlo con muchas combinaciones de instalaciones y versiones de S.O.

 

Precisamente con autoinstaller no me deja actualizar porque le "molesta" el psa-proftpd de atomic, así que tendré que desinstalar proftpd en los servidores y volver a ejecutar la actualización.

Por otro lado, entiendo que lleve un tiempo, pero 10 días para aplicar un parche que ya existe a un paquete de PSA es inaceptable. ¿Cuántas horas de trabajo son 10 días? Al menos son 80 horas de trabajo, y los que elegimos y compramos/alquilamos licencias plesk esperamos algo a cambio.
Desde mi punto de vista, no tiene excusa la falta de profesionalidad (o de medios) de parallels.
Si el principal o uno de los principales software de este tipo tarda 10 días y ofrece a los usuarios instalar parches de terceros, me parece que tiene algún que otro problema interno.

 

¿Existe una notificación o algún aviso por su parte? Es decir, ¿dónde veo si han sacado ya o no los fixes?

 

egrueda, indudablemente 10 días son mucho tiempo, pero los que estamos trabajando en desarrollo para unix, tenemos unos tiempos mínimos que no te los quita nadie, no es un problema de tener 10 o 100 personas trabajando con 100 servidores cada uno...

Cuando tienes que editar y compilar un bug de este tipo, la parte de corrección de fuentes la suelen llevar un par de personas, eso es lo más rápido, pero después tienes que compilarlo, instalarlo y probarlo, una vez probado, recompilarlo sin debug y repetir el proceso, crear el paquete instalable final y pasarlo a descarga.

Este proceso toma una cantidad de horas considerable, que debes de multiplicar por todas las versiones de S.O. con sus respectivas versiones de panel control para el que debes distribuir el parche.

Ahora, 10 días es aceptable? como cliente quizás no, pero visto como empresa de desarrollo hasta puede ser rápido.

Yo no espero que Parallels, ni RedHat, ThePlanet, ni nadie haga milagros, lo que espero es que me solucionen los problemas cuando se presentan en un tiempo razonable y que me avisen cuando descubren un problema de seguridad.

La seguridad en el tiempo que pasa entre que se descubre el problema y aparece el parche es responsabilidad de cada proveedor y dependerá del nivel técnico (calidad) de la empresa el que lo sepa manejar o no.

En este caso, por ejemplo, la solución es cerrar los accesos de FTP en el firewall y avisar a tus clientes del asunto, si un cliente necesita acceder, le pides un IP fijo y se lo abres en el firewall, el resto tiene que esperar a que salga el parche....

No es aconsejable lanzarse a hacer actualizaciones a lo loco, siempre se debe de probar primero en un servidor de prueba, antes de mezclar repositorios hay que pensarlo y probarlo muy bien.

La mejor forma de que todo funcione bien es apegarse a la instalación aconsejada por el proveedor y no modificar sus componentes base, suelen ser los mejor probados y más seguros.

Así que paciencia, también hemos tenido que actualizar unos cuantos servidores y eso le revienta la paciencia a cualquiera

 

El aviso del bug
http://bugs.proftpd.org/show_bug.cgi?id=3521

Reported: 2010-10-29 12:15 by TJ Saunders
Modified: 2010-10-29 18:18 (History)


Ya está disponible para 9.5x actualizando desde el panel o desde el S.O.

 

Jeje, no, me refiero respecto al hotfix de plesk

 

Ya está disponible para 9.5x actualizando desde el panel o desde el S.O.

Para la Ver. 8.6 no hace falta, para la 9.3 hemos actualizado los paneles a 9.5 y te aplica el parche directamente.

No se como actuará el upgrade de licencia, algunas veces puede quedarse sin actualizar y es necesario emitir otra nueva o el panel no funciona*, en nuestro caso generamos una nueva y listo, pero si dependes de tu proveedor para las licencias tienes que tener cuidado,,,

___________
* Si te aparece el problema de licencia muchas veces se soluciona reiniciando totalmente Plesk.

 

No veo la actulizacion...

Lo extraño en mi caso es que luego de actualizar a la ultima version estable de plesk ... Plesk9.5.3 CentOS 5 95101022.10

Realize la actulizacion en dos servidores en uno desde el mismo panel y otro desde shell con /usr/local/psa/admin/sbin/autoinstaller

Me sigue apareciendo al consultar
[root@servidor ~]# cat /usr/local/psa/version
9.5.3 CentOS 5 95101022.10

[root@servidor ~]# rpm -qa | grep proftp
psa-proftpd-1.3.2e-cos5.build95100504.10
psa-proftpd-xinetd-1.3.2e-cos5.build95100504.10

[root@servidor ~]# /usr/sbin/proftpd -v
ProFTPD Version 1.3.2e

Tendra que ver con que use hace un tiempo los repositorios de atomicrocketturtle ??? Y en este caso que debo hacer...ya hay mucha gente con servidores comprometidos segun el foro de parallels.


Hay personas en el foro que argumentan que ya se actulizo pero por un error de parallels aparece la version antigua...

No se como proceder... Gracias

 

Alguien me puedeu ayudar? Parece que ya tengo actualixzado proftpd però no puedo actualizar plesk a 9.5.3

ERROR: Unable to proceed with the installation until the package psa-proftpd-1.3.3c-2.el5.art.i386 is removed from the system.

proftpd -v
ProFTPD Version 1.3.3c

Saludos

 

jeje, pues "rpm -e psa-proftpd" y luego actualizas

 

Mucho cuidado al borrarlo que no elimine dependencias y deje el panel fuera de línea.

 

Partimos de la base de que el administrador del sisema linux es un administrador de sistemas linux
Por si acaso, matizo:

CODE, HTML o PHP Insertado:

rpm -ev --nodeps psa-proftpd

 

Eso es lo que me preocupaba, imagino que estará vinculado con algún archivo de configuración, cuentas...

Serviria un downgrade?

saludos

 

Lo dudo, pero puedes probar primero con:

rpm -ev --test psa-proftpd

si te aparecen dependencias prueba

rpm -ev --nodeps --test psa-proftpd

De acuerdo a los resultados que obtengas usa uno u otro.

El hacerlo con --nodeps te puede dejar algún paquete suelto depende de que repositorio hayas instalado.


rpm -qa | grep psa-proftpd
psa-proftpd-xinetd-1.3.2e-cos5.build95101022.06
psa-proftpd-1.3.2e-cos5.build95101022.06

 

Lo solucioné con:

rpm -e --justdb psa-proftpd-1.3.3c-2.el5.art.i386 --nodeps

Tras hacer esto pude actualizar plesk sin problemas.

Saludos

 

Yo lo solucione en multiples maquinas con
yum update psa-proftpd
Basado en los repositorios de la Tortuga

 

Tortuga rulez! Para ser la más lenta, fue la más rápida, ¿no?
Pero ten cuidado que ahora ese paquete no te va a permitir resolver las dependencias correctamente cuando actualices desde plesk