في خادم بروتوكول نقل الملفات ProFTPD ثغرة خطيرة ()، والذي يسمح لك بنسخ الملفات داخل الخادم دون مصادقة باستخدام الأمرين "site cpfr" و"site cpto". مشكلة مستوى الخطر 9.8 من أصل 10، حيث يمكن استخدامه لتنظيم تنفيذ التعليمات البرمجية عن بعد مع توفير وصول مجهول إلى FTP.
عالي التأثر فحص غير صحيح لقيود الوصول لقراءة البيانات وكتابتها (الحد من القراءة والحد من الكتابة) في وحدة mod_copy، والتي يتم استخدامها بشكل افتراضي وممكنة في حزم proftpd لمعظم التوزيعات. ومن الجدير بالذكر أن الثغرة الأمنية هي نتيجة لمشكلة مماثلة لم يتم حلها بشكل كامل، في عام 2015، والتي تم الآن تحديد نواقل هجوم جديدة لها. علاوة على ذلك، تم الإبلاغ عن المشكلة للمطورين مرة أخرى في سبتمبر من العام الماضي، ولكن تم التصحيح قبل بضعة أيام فقط.
تظهر المشكلة أيضًا في أحدث الإصدارات الحالية من ProFTPd 1.3.6 و1.3.5d. الإصلاح متاح ك . كحل بديل للأمان، يوصى بتعطيل mod_copy في التكوين. تم إصلاح الثغرة الأمنية حتى الآن فقط في ويبقى دون تصحيح , , , , (لا يتم توفير ProFTPD في مستودع RHEL الرئيسي، ولا تتأثر الحزمة من EPEL-6 بالمشكلة لأنها لا تتضمن mod_copy).
المصدر: opennet.ru