Kategorien
Linux Sonstiges

FileZilla & proftpd, Teil 3

So, endlich hat es die neuste Version (1.3.3-rc1) in den portage-tree von Gentoo geschafft. Allerdings gingen dann wieder die TLS-Verbindungen nicht. Grund des ganzen:

TLSOptions

The NoSessionReuseRequired option has been added. As of ProFTPD 1.3.3rc1, mod_tls only accepts SSL/TLS data connections that reuse the SSL session of the control connection, as a security measure. Unfortunately, there are some clients (e.g. curl) which do not reuse SSL sessions.

To relax the requirement that the SSL session from the control connection be reused for data connections, use the following in the proftpd.conf:

<IfModule mod_tls.c>

TLSOptions NoSessionReuseRequired

</IfModule>

Quelle: http://proftpd.org/docs/RELEASE_NOTES-1.3.3rc1

Kategorien
Linux Sonstiges

FileZilla & proftpd, Teil 2

Es gibt wohl gerade wieder Probleme mit der Kombination von FileZilla und proftpd:

http://forum.filezilla-project.org/viewtopic.php?f=2&t=7688

Jetzt hab ich auf dem Gentoo-Server zwar die „passende“ Version dafür das es funktionieren sollte, aber irgendwie macht es trotzdem noch Zicken. Seit Ende Juli gibt es zwei neue Versionen von proftpd (1.3.3rc1 und 1.3.2a), allerdings noch keinen offiziellen ebuild. Es gibt aber einen inoffiziellen (Bug #276371), der bei mir zwar kompiliert, aber keinen lauffähigen proftpd erzeugt. Allerdings war das eine 3min-Hau-Ruck-Aktion, mit ein bißchen Geduld geht da sicher mehr 🙂

Bleibt also wieder die alte Lösung: Server updaten oder FileZilla downgraden 🙂

Kategorien
Linux Sonstiges

FileZilla & proftpd

Heute wollte ich mal wieder was per FTPS hochladen. Schmeiss also den FileZilla an, der informiert mich über eine neue Version, also mache ich das Update. Nun hab ich FileZilla 3.1.0.1 und auf dem Server läuft der proftpd 1.3.1_rc2-r3.

So, der Fehler ist nun

Status:    Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler:    Could not read from transfer socket: ECONNABORTED – Connection aborted

Ahja. Ein bisschen googlen erbrachte dann erste Aufschreie im FileZilla-Forum. Da gibt’s dann sowas wie

Frage: Hilfe, es geht nimmer!
Antwort: Upgrade auf einen besseren und korrekteren FTP-Server

Quelle: http://forum.filezilla-project.org/viewtopic.php?f=2&t=7580

Ansonsten gibts noch drei Threads, in denen das Problem etwas detailierter beschrieben wird, inkl. warum FileZilla hier das so macht wie er es macht, wobei der letzte der ausführlichste ist.

  1. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7587
  2. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7559
  3. http://forum.filezilla-project.org/viewtopic.php?f=2&t=7465

Auf filezilla-project.org gibts auch einen Newseintrag dazu:

2008-07-24 – Security Advisory

FileZilla 3.1.0.1 fixes a vulnerability regarding the way some errors are handled on SSL/TLS secured data transfers.

If the data connection of a transfer gets closed, FileZilla did not check if the server performed an orderly TLS shutdown.

Impact

An attacker could send spoofed FIN packets to the client. Even though GnuTLS detects this with GNUTLS_E_UNEXPECTED_PACKET_LENGTH, FileZilla did not record a transfer failure in all cases.

Unfortunately not all servers perform an orderly SSL/TLS shutdown. Since this cannot be distinguished from an attack, FileZilla will not be able to download listings or files from such servers.

Affected versions

All versions prior to 3.1.0.1 are affected. This vulnerability has been fixed in 3.1.0.1

Nunja, so wie es aussieht, verhaelt sich FileZilla so: Wir haben Recht, der Server is das Problem. Nungut, auf der Maillingliste von proftpd sieht das so aus:

http://sourceforge.net/mailarchive/forum.php?forum_name=proftp-user

da sieht man unter dem Thread [Proftpd-user] Filezilla – explicit TLS vom 29.07. 07:25 die ersten Berichte. Auf der Entwicklerliste wurde schon ein Patch eingereicht und hier (
[Proftpd-devel] Patch for mod_tls shutdown
) diskutiert. Jetzt heisst es warten, bis der Patch auch bei Gentoo ankommt.

UPDATE: Oder einfach den FileZilla downgraden, das macht der Installer automatisch, einfach einen alten FileZilla runterladen.

Weitere Links: