Доступен релиз ProFTPD 1.3.2 с устранением уязвимости

7 февраля 2009 года

Спустя 16 месяцев с момента выхода прошлой версии вышел релиз ProFTPD 1.3.2 в котором исправлено 120 ошибок, среди которых устранена серьезная уязвимость в модулях mod_sql_mysql и mod_sql_postgres, используя которую злоумышленник может осуществить подстановку SQL кода (SQL injection) в системах, поддерживающих многобайтовые кодировки со включенной в конфигурации поддержкой NLS (сборка с --enable-nls). Проблеме не подвержены системы с переменной окружения "LANG" выставленной в 8-битную кодировку.

Некоторые наиболее интересные изменения:

• По умолчанию активирована поддержка IPv6, для отключения в proftpd.conf нужно указать "UseIPv6 off";
• Добавлен перевод сообщений на русский язык;
• Устранены проблемы с установкой кодировки на платформе FreeBSD;
• По умолчанию значение настройки TimeoutLinger уменьшено с 180 до 30 секунд, так как у большинства клиентов значение время ожидания ответа сервера равняется 60 сек. и чтобы не натолкнуться на таймаут клиента TimeoutLinger не должен превышать 60 сек.;
• Исправлено несколько проблем, связанные с обрывом соединения;
• Устранена утечка файловых дескрипторов при ведении лога через syslog;
• Добавлена утилита prxs для быстрой сборки и установки сторонних модулей без наличия исходных текстов proftpd;
• Опция "-vv" теперь в дополнение к списку статически вкомпилированных модулей, отображает и динамически собранные модули. Только статические модули можно просмотреть при помощи опции "-l";
• Новые директивы конфигурации:
• AuthPAMOptions - установка дополнительных опций для PAM модулей;
• MaxTransferPerHost, MaxTransfersPerUser - задание ограничение на максимальное число одновременных передач данных для заданного хоста или пользователя.
• TLSVerifyOrder - директива для настройки порядка проверки сертификата в коде поддержки протокола OCSP (Online Certificate Status Protocol) в mod_tls;
• TransferPriority - позволяет изменить приоритет выполнения процесса;
• UseEncoding - в модуле mod_lang добавлена возможность использования кодировки отличной от UTF8 для управляющих соединений;
• Прекращена поддержка директив AnonymousGroup и UseUTF8;
• Новые модули и скрипты в архиве дополнительных компонент (contrib):
• Модуль mod_unique_id для генерации в переменной окружения UNIQUE_ID уникального идентификатора для каждой FTP сессий. Для генерации идентификатора используется IP хоста и клиента, pid-процесса и текущее время;
• Модуль mod_sql_odbc для соединения с СУБД через ODBC драйверы;
• Модуль mod_dynmasq для автоматического определения и назначения IP через сервисы динамической привязки имен.
• mod_sql_sqlite - модуль для хранения аккаутов в SQLite базе;
• Скрипт ftpmail отправляющий по почте уведомления о завершении загрузки;
• Новые модули из базовой поставки:
• Модуль mod_facts с реализацией команд MLSD и MLST, определенных в RFC3659. Поддержка модуля активируется по умолчанию;
• Поддержка протокола идентификации описанного в RFC1413 вынесена из основного кода и реализована в виде модуля mod_ident.