Nach zweieinhalb Jahren Entwicklungszeit wurde ein bedeutendes Release des FTP-Servers ProFTPD 1.3.8 veröffentlicht, das Stärken in der Erweiterbarkeit und Funktionalität sowie Schwächen in der regelmäßigen Identifizierung gefährlicher Schwachstellen aufweist. Eine Korrekturversion von ProFTPD 1.3.7f ist gleichzeitig verfügbar und wird die letzte in der ProFTPD 1.3.7-Reihe sein.
Wichtigste Neuerungen von ProFTPD 1.3.8:
- Es wurde Unterstützung für den FTP-Befehl CSID (Client/Server ID) implementiert, mit dem Informationen zur Identifizierung der Client-Software auf dem Server gesendet und eine Antwort mit Informationen zur Identifizierung des Servers empfangen werden können. Beispielsweise könnte ein Client „CSID Name=BSD FTP; Version=7.3“ und erhalten als Antwort „200 Name=ProFTPD; Version=1.3.8; Betriebssystem=Ubuntu Linux; OSVer=22.04; CaseSensitive=1; DirSep=/;".
- Unterstützung für die Erweiterung „Home-Verzeichnis“ zur SFTP-Protokollimplementierung hinzugefügt, um die Pfade ~/ und ~user/ zu erweitern. Um es zu aktivieren, können Sie die Direktive „SFTPExtensions homeDirectory“ verwenden.
- Unterstützung für AES-GCM-Verschlüsselungen zu mod_sftp hinzugefügt.[E-Mail geschützt] "Und"[E-Mail geschützt] ", sowie Rotation von Hostschlüsseln ("SFTPOptions NoHostkeyRotation") mithilfe von OpenSSH-Erweiterungen "[E-Mail geschützt] " Und "[E-Mail geschützt] ". Unterstützung für die Aktivierung von AES-GCM-Verschlüsselungen zur SFTPCiphers-Direktive hinzugefügt.
- Option „--enable-pcre2“ hinzugefügt, um mit der PCRE2-Bibliothek anstelle von PCRE zu erstellen. Der RegexOptions-Direktive wurde die Möglichkeit hinzugefügt, eine Engine für reguläre Ausdrücke zwischen PCRE2, POSIX und PCRE auszuwählen.
- Die SFTPHostKeys-Direktive wurde hinzugefügt, um Hostschlüsselalgorithmen anzugeben, die Clients für das mod_sftp-Modul angeboten werden.
- FactsDefault-Direktive hinzugefügt, um die Liste der „Fakten“, die in MLSD/MLSD-FTP-Antworten zurückgegeben werden, explizit zu definieren.
- Die LDAPConnectTimeout-Direktive wurde hinzugefügt, um das Verbindungszeitlimit zum LDAP-Server zu definieren.
- Eine ListStyle-Direktive wurde hinzugefügt, um das Auflisten der Inhalte von Verzeichnissen im Windows-Stil zu ermöglichen.
- Die RedisLogFormatExtra-Direktive wurde implementiert, um dem JSON-Protokoll benutzerdefinierte Schlüssel und Werte hinzuzufügen, die in den RedisLogOnCommand- und RedisLogOnEvent-Direktiven enthalten sind.
- Der Parameter „MaxLoginAttemptsFromUser“ wurde zur BanOnEvent-Direktive hinzugefügt, um bestimmte Kombinationen von Benutzern und IP-Adressen zu blockieren.
- TLS-Unterstützung wurde zur RedisSentinel-Direktive hinzugefügt, wenn eine Verbindung zum Redis-DBMS hergestellt wird. Unterstützung für die RedisServer-Direktive für die seit Redis 6.x verwendete geänderte AUTH-Befehlssyntax hinzugefügt.
- Unterstützung für ETM-Hashes (Encrypt-Then-MAC) zur SFTPDigests-Direktive hinzugefügt.
- Das ReusePort-Flag wurde zur SocketOptions-Direktive hinzugefügt, um den Socket-Modus SO_REUSEPORT zu aktivieren.
- Das Flag „AllowSymlinkUpload“ wurde zur TransferOptions-Direktive hinzugefügt, um die Möglichkeit zum Hochladen auf symbolische Links zurückzugeben.
- Unterstützung für den Schlüsselaustauschalgorithmus „curve448-sha512“ zur SFTPKeyExchanges-Direktive hinzugefügt.
- Dem Modul mod_wrap2 wurde die Möglichkeit hinzugefügt, zusätzliche Dateien in den Zulassungs-/Verweigerungstabellen zu ersetzen.
- Der Standardwert des FSCachePolicy-Parameters wurde in „off“ geändert.
- Das Modul mod_sftp wurde für die Verwendung mit der OpenSSL 3.x-Bibliothek angepasst.
- Unterstützung für die Erstellung mit der libidn2-Bibliothek zur Verwendung internationalisierter Domänennamen (IDNs) hinzugefügt.
- Für das Dienstprogramm ftpasswd zum Generieren von Passwort-Hashes ist standardmäßig SHA256 anstelle von MD5 aktiviert.
Source: opennet.ru