Yn y gweinydd ftp ProFTPD bregusrwydd peryglus (), sy'n eich galluogi i gopïo ffeiliau o fewn y gweinydd heb eu dilysu gan ddefnyddio'r gorchmynion “site cpfr” a “site cpto”. problem lefel perygl 9.8 allan o 10, gan y gellir ei ddefnyddio i drefnu gweithredu cod o bell tra'n darparu mynediad dienw i FTP.
Bregusrwydd gwiriad anghywir o gyfyngiadau mynediad ar gyfer darllen ac ysgrifennu data (Terfyn DARLLEN a Cyfyngu YSGRIFENNU) yn y modiwl mod_copy, a ddefnyddir yn ddiofyn a'i alluogi mewn pecynnau proftpd ar gyfer y rhan fwyaf o ddosbarthiadau. Mae’n werth nodi bod y bregusrwydd yn ganlyniad i broblem debyg nad yw wedi’i datrys yn llwyr, yn 2015, y mae fectorau ymosodiad newydd bellach wedi'u nodi ar eu cyfer. Ar ben hynny, adroddwyd y broblem i'r datblygwyr yn ôl ym mis Medi y llynedd, ond roedd y clwt dim ond ychydig ddyddiau yn ôl.
Mae'r broblem hefyd yn ymddangos yn y datganiadau cyfredol diweddaraf o ProFTPd 1.3.6 a 1.3.5d. Mae'r atgyweiriad ar gael fel . Fel ateb diogelwch, argymhellir analluogi mod_copy yn y ffurfweddiad. Hyd yn hyn dim ond i mewn y mae'r bregusrwydd wedi'i osod ac yn parhau i fod heb ei gywiro , , , , (Nid yw ProFTPD yn cael ei gyflenwi ym mhrif ystorfa RHEL, ac nid yw'r pecyn o EPEL-6 yn cael ei effeithio gan y broblem oherwydd nid yw'n cynnwys mod_copy).
Ffynhonnell: opennet.ru