In die ProFTPD ftp-bediener gevaarlike kwesbaarheid (), wat jou toelaat om lêers binne die bediener te kopieer sonder verifikasie met behulp van die "site cpfr" en "site cpto" opdragte. probleem gevaarvlak 9.8 uit 10, aangesien dit gebruik kan word om afgeleë kode-uitvoering te organiseer terwyl anonieme toegang tot FTP verskaf word.
Kwesbaarheid verkeerde kontrolering van toegangsbeperkings vir lees en skryf van data (Limit READ en Limit WRITE) in die mod_copy-module, wat by verstek gebruik word en in proftpd-pakkette vir die meeste verspreidings geaktiveer word. Dit is opmerklik dat die kwesbaarheid 'n gevolg is van 'n soortgelyke probleem wat nie heeltemal opgelos is nie, in 2015, waarvoor nuwe aanvalsvektore nou geïdentifiseer is. Boonop is die probleem in September verlede jaar aan die ontwikkelaars gerapporteer, maar die pleister was net 'n paar dae gelede.
Die probleem verskyn ook in die jongste huidige uitgawes van ProFTPd 1.3.6 en 1.3.5d. Die oplossing is beskikbaar as . As 'n veiligheidsoplossing, word dit aanbeveel om mod_copy in die konfigurasie te deaktiveer. Die kwesbaarheid is tot dusver slegs in en bly ongekorrigeerd , , , , (ProFTPD word nie in die hoof-RHEL-bewaarplek verskaf nie, en die pakket van EPEL-6 word nie deur die probleem geraak nie omdat dit nie mod_copy insluit nie).
Bron: opennet.ru