¿Es seguro usar este servidor ftp incorporado?

Intentaré responder las preguntas con la siguiente explicación.

Describir la falta de desarrollo solo no es un riesgo. Pero eso también es cuestión de opinión. Sin embargo, las dependencias de su biblioteca (por ejemplo, Java y otras) pueden ser. Esto significa que, por ejemplo, la biblioteca podría estar (conocida) sin errores y, de hecho, estable. Pero la versión subyacente de Java podría convertirse en el problema, introduciendo vulnerabilidades conocidas.

Para evaluar eso, debes auditar la biblioteca, incluidas las dependencias, para decir algo útil al respecto.

Evaluación de riesgos

También debes tener en cuenta la probabilidad. ¿Se puede acceder a esto solo detrás de una red privada virtual (VPN) o detrás de un túnel SSH con claves privadas en su lugar, o ambas? ¿O está abierto al mundo entero? Entonces también considera el posible impacto. ¿Hay dos usuarios en la plataforma o veinte mil? ¿Pueden abrir solo algunos archivos de medios? ¿O información altamente confidencial y clasificada?

El punto clave aquí es que no es la edad de la biblioteca lo que constituye un problema. De lo contrario. Pero es un problema si una biblioteca no se mantiene y este problema se vuelve (muy poco) más grande si la biblioteca es antigua porque eso aumenta el riesgo de que existan vulnerabilidades no fijadas.

1. ¿Es esto un riesgo real, es la biblioteca un problema? 5. ¿Hay problemas de seguridad para esta biblioteca?

Determinar esto requeriría tener en cuenta los requisitos de seguridad y el modelo adverso y, posiblemente, realizar una auditoría de seguridad. Dar una respuesta está fuera de alcance aquí.

2. ¿Es la edad de la biblioteca en sí una preocupación?

En realidad, cuando un proyecto está bien mantenido, tener una cierta edad puede ser beneficioso porque se han encontrado y corregido muchos fallos de seguridad.

3. ¿El mantenimiento es un problema?

Absolutamente, un proyecto sin mantenimiento significará que las nuevas fallas de seguridad cuando se encuentren podrían no ser reparadas y usted tendría que corregirlas usted mismo o reemplazar la biblioteca.

4. ¿El hecho de que Apache sea un profesional lo mantenga?

No creo que la estructura organizativa de la base de Apache permita esa conclusión. Hay demasiadas personas y proyectos que ejecutan las cosas de manera diferente.

oɔɯǝɹ, como se mencionó, es difícil hacer mucho de una auditoría de seguridad basada en parte de la vaga información proporcionada.

Me imagino que tiene cierta comprensión y conocimiento de los problemas de seguridad típicos, ya que en realidad está aquí y pregunta por la seguridad de un servicio relacionado con FTP.

Sin embargo, hay aspectos de esto que a menudo son cuestionables cuando se trata de seguridad (antiguo / probablemente ya no es compatible, relacionado con FTP). Además, Open Source es genial: cuando se mantiene y me gusta pensar que, en consecuencia, los "sombreros blancos" pueden superar a los "sombreros negros".

Personalmente, encontraría otra solución porque, incluso si pasa por alto sin un problema de seguridad por el momento, es probable que busque una nueva solución más pronto que tarde. (Solo presumo esto basado en mi propia experiencia). Una de las principales preocupaciones, solo para ser claro y esta puede ser la razón por la que se hizo la pregunta en primer lugar, es que el software que no se ha desarrollado durante tanto tiempo (es decir, que viene en una DÉCADA) tiene una posibilidad decente de eventualmente está siendo explotado de alguna manera y no hay nadie que lo vigile y lo arregle, y mucho menos que lo reporte.

Para responder a tus 5 preguntas, sin embargo (y espero obtener una recompensa o un punto para que pueda escapar de la caja de arena de puntos de novato :-p):

1. Una especie de repasar las posibles formas en que podría ser un riesgo. Sin embargo, puedes verlo desde otra perspectiva y ver si hay alguien (¡idealmente más de uno!) Que también lo usa.

Si dicho grupo lo está utilizando, entonces podrías confiar en que son una especie de 'canario en una mina de carbón'. Aunque esa analogía claramente no es terriblemente acertada en este campo, je ...

2. Sí, la edad de la biblioteca sería una preocupación. Lo único que tiene a su favor es que está conectado, aunque sea de forma distante, a la Fundación Apache.

   3. Sí, el estado de mantenimiento también sería una preocupación para mí; vea el principio de mi respuesta sobre por qué.

   4. Heh, no había mirado las preguntas, ¡lo juro! :-p ... ver respuesta a la pregunta 2

   5. Sí, hay posibles problemas de seguridad. Sin embargo, todos ellos son especulativos. Otra forma de posiblemente obtener algo más concreto es hacer un poco de investigación de enlaces, investigación de dominios y quizás alguna investigación sobre otros que aún lo estén usando (si hay alguno), así como tomar ese hecho en sí (correspondiente a los usuarios restantes). consideración seria.

¡Buena suerte y siéntase libre de verificarlo al respecto! Una buena regla general es tratar de mantenerse actualizado con el software. Pero supongo que, a veces, NO DEBE ACTUALIZAR que usted es solo el conejillo de indias / buscador de insectos ha.

Saludos