FileZilla & proftpd

Heute wollte ich mal wieder was per FTPS hochladen. Schmeiss also den FileZilla an, der informiert mich über eine neue Version, also mache ich das Update. Nun hab ich FileZilla 3.1.0.1 und auf dem Server läuft der proftpd 1.3.1_rc2-r3.

So, der Fehler ist nun

Status:    Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler:    Could not read from transfer socket: ECONNABORTED – Connection aborted

Ahja. Ein bisschen googlen erbrachte dann erste Aufschreie im FileZilla-Forum. Da gibt’s dann sowas wie

Frage: Hilfe, es geht nimmer!
Antwort: Upgrade auf einen besseren und korrekteren FTP-Server

Quelle: http://forum.filezilla-project.org/viewtopic.php?f=2&t=7580

Ansonsten gibts noch drei Threads, in denen das Problem etwas detailierter beschrieben wird, inkl. warum FileZilla hier das so macht wie er es macht, wobei der letzte der ausführlichste ist.

  1. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7587
  2. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7559
  3. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7465

Auf filezilla-project.org gibts auch einen Newseintrag dazu:

2008-07-24 – Security Advisory

FileZilla 3.1.0.1 fixes a vulnerability regarding the way some errors are handled on SSL/TLS secured data transfers.

If the data connection of a transfer gets closed, FileZilla did not check if the server performed an orderly TLS shutdown.

Impact

An attacker could send spoofed FIN packets to the client. Even though GnuTLS detects this with GNUTLS_E_UNEXPECTED_PACKET_LENGTH, FileZilla did not record a transfer failure in all cases.

Unfortunately not all servers perform an orderly SSL/TLS shutdown. Since this cannot be distinguished from an attack, FileZilla will not be able to download listings or files from such servers.

Affected versions

All versions prior to 3.1.0.1 are affected. This vulnerability has been fixed in 3.1.0.1

Nunja, so wie es aussieht, verhaelt sich FileZilla so: Wir haben Recht, der Server is das Problem. Nungut, auf der Maillingliste von proftpd sieht das so aus:

http://sourceforge.net/mailarchive/forum.php?forum_name=proftp-user

da sieht man unter dem Thread [Proftpd-user] Filezilla – explicit TLS vom 29.07. 07:25 die ersten Berichte. Auf der Entwicklerliste wurde schon ein Patch eingereicht und hier (
[Proftpd-devel] Patch for mod_tls shutdown
) diskutiert. Jetzt heisst es warten, bis der Patch auch bei Gentoo ankommt.

UPDATE: Oder einfach den FileZilla downgraden, das macht der Installer automatisch, einfach einen alten FileZilla runterladen.

Weitere Links: