በProFTPd ውስጥ ወሳኝ ተጋላጭነት

በProFTPD ftp አገልጋይ ውስጥ ተለይቷል አደገኛ ተጋላጭነት (CVE-2019-12815), ይህም የ "site cpfr" እና "site cpto" ትዕዛዞችን በመጠቀም ያለ ማረጋገጫ በአገልጋዩ ውስጥ ፋይሎችን ለመቅዳት ያስችልዎታል. ችግር ተመድቧል የአደጋ ደረጃ 9.8 ከ 10፣ ማንነቱ ያልታወቀ የኤፍቲፒ መዳረሻ ሲሰጥ የርቀት ኮድ አፈጻጸምን ለማደራጀት ስለሚያገለግል።

ተጋላጭነት ምክንያት ሆኗል በነባሪነት ጥቅም ላይ የሚውለው እና ለብዙ ስርጭቶች በproftpd ፓኬጆች ውስጥ የነቃው በሞድ_ኮፒ ሞጁል ውስጥ ውሂብ የማንበብ እና የመጻፍ ገደብ (መፃፍን ይገድቡ እና ይገድቡ) ትክክል ያልሆነ ፍተሻ። ተጋላጭነቱ ሙሉ በሙሉ ያልተፈታ ተመሳሳይ ችግር መዘዝ መሆኑ ትኩረት የሚስብ ነው። ተለይቷል እ.ኤ.አ. በ 2015 ፣ ለዚህም አዳዲስ የጥቃት ቫይረሶች ተለይተዋል ። ከዚህም በላይ ችግሩ ባለፈው ዓመት ሴፕቴምበር ላይ ለገንቢዎች ሪፖርት ተደርጓል, ነገር ግን ችግሩ ነበር ተዘጋጅቷል ከጥቂት ቀናት በፊት.

ችግሩ በቅርብ ጊዜ የፕሮኤፍቲፒድ 1.3.6 እና 1.3.5d ልቀቶች ላይም ይታያል። ማስተካከያው እንደ ይገኛል ጠጋኝ. እንደ የደህንነት ጥበቃ ዘዴ፣ በቅንጅቱ ውስጥ mod_copyን ለማሰናከል ይመከራል። ተጋላጭነቱ እስካሁን የተስተካከለው በ ውስጥ ብቻ ነው። Fedora እና ሳይታረም ይቀራል ደቢያን, SUSE/ክፍት SUSE, ኡቡንቱ, FreeBSD, EPEL-7 (ProFTPD በዋናው የ RHEL ማከማቻ ውስጥ አልቀረበም, እና ከ EPEL-6 ያለው ጥቅል በችግሩ አይነካም ምክንያቱም mod_copy አያካትትም).

ምንጭ: opennet.ru