FileZilla & proftpd

Heute wollte ich mal wieder was per FTPS hochladen. Schmeiss also den FileZilla an, der informiert mich über eine neue Version, also mache ich das Update. Nun hab ich FileZilla 3.1.0.1 und auf dem Server läuft der proftpd 1.3.1_rc2-r3.

So, der Fehler ist nun

Status:    Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler:    Could not read from transfer socket: ECONNABORTED – Connection aborted

Ahja. Ein bisschen googlen erbrachte dann erste Aufschreie im FileZilla-Forum. Da gibt’s dann sowas wie

Frage: Hilfe, es geht nimmer!
Antwort: Upgrade auf einen besseren und korrekteren FTP-Server

Quelle: http://forum.filezilla-project.org/viewtopic.php?f=2&t=7580

Ansonsten gibts noch drei Threads, in denen das Problem etwas detailierter beschrieben wird, inkl. warum FileZilla hier das so macht wie er es macht, wobei der letzte der ausführlichste ist.

  1. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7587
  2. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7559
  3. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7465

Auf filezilla-project.org gibts auch einen Newseintrag dazu:

2008-07-24 – Security Advisory

FileZilla 3.1.0.1 fixes a vulnerability regarding the way some errors are handled on SSL/TLS secured data transfers.

If the data connection of a transfer gets closed, FileZilla did not check if the server performed an orderly TLS shutdown.

Impact

An attacker could send spoofed FIN packets to the client. Even though GnuTLS detects this with GNUTLS_E_UNEXPECTED_PACKET_LENGTH, FileZilla did not record a transfer failure in all cases.

Unfortunately not all servers perform an orderly SSL/TLS shutdown. Since this cannot be distinguished from an attack, FileZilla will not be able to download listings or files from such servers.

Affected versions

All versions prior to 3.1.0.1 are affected. This vulnerability has been fixed in 3.1.0.1

Nunja, so wie es aussieht, verhaelt sich FileZilla so: Wir haben Recht, der Server is das Problem. Nungut, auf der Maillingliste von proftpd sieht das so aus:

http://sourceforge.net/mailarchive/forum.php?forum_name=proftp-user

da sieht man unter dem Thread [Proftpd-user] Filezilla – explicit TLS vom 29.07. 07:25 die ersten Berichte. Auf der Entwicklerliste wurde schon ein Patch eingereicht und hier (
[Proftpd-devel] Patch for mod_tls shutdown
) diskutiert. Jetzt heisst es warten, bis der Patch auch bei Gentoo ankommt.

UPDATE: Oder einfach den FileZilla downgraden, das macht der Installer automatisch, einfach einen alten FileZilla runterladen.

Weitere Links:

8 Gedanken zu „FileZilla & proftpd“

  1. Ebenfalls vielen Dank! Erfolg durch Downgraden, so was kennt man sonst nur von Microsoft (;
    Auch mit der Version 3.1.1.1 hatte ich das Problem noch.

  2. Hat jemand schon eine Lösung gefunden so das ProFtpD auch mit dem neuen FileZilla läuft oder muss man wirklich auf nen anderen FTP-Server umstellen ???

  3. hab ich auch schon gesehen… allerdings kann ich neu installieren soviel ich will es bleibt bei der alten version!

    hab mit apt-get remove –purge deinstalliert… mit apt-get update quellen geupdatet und neu installiert… bekomme immer nur die alte version !

    will auch nicht meine ganze konfig zersemmeln weil ich da einiges reingebastelt habe mit individuellen mswl-strings und quota etc…

    gibts keine möglichkeit einfach nen update zu machen ???

    LG
    JoeK

  4. Also, ich weiss nicht wie das bei ubuntu/debian ist mit der Aktualität der Programme, aber im Zweifelsfall musst du halt selber kompilieren. Wenn bei den APT-Quellen kein neuers Paket dabei ist, dann wird er auch nichts neueres installieren.

Kommentare sind geschlossen.