У ProFTPd (папулярны ftp-server) выяўлена крытычная ўразлівасць (CVE-2019-12815). Эксплуатацыя дазваляе капіяваць файлы ў межах сервера без аўтэнтыфікацыі пры дапамозе каманд "site cpfr" і "site cpto", у тым ліку і на серверах з ананімным доступам.
Уразлівасць выклікана некарэктнай праверкай абмежаванняў доступу на чытанне і запіс дадзеных (Limit READ і Limit WRITE) у модулі mod_copy, які ўжываецца па змаўчанні і ўключаны ў пакетах proftpd для большасці дыстрыбутываў.
Уразлівасці схільныя ўсе актуальныя версіі ва ўсіх дыстрыбутывах, акрамя Fedora. На сапраўдны момант выпраўленне даступна ў выглядзе патча. Як часавае рашэнне рэкамендуецца адключыць mod_copy.
Крыніца: linux.org.ru