I ProFTPD ftp-serveren farlig sårbarhed (), som giver dig mulighed for at kopiere filer på serveren uden godkendelse ved hjælp af kommandoerne "site cpfr" og "site cpto". problem fareniveau 9.8 ud af 10, da det kan bruges til at organisere fjernudførelse af kode og samtidig give anonym adgang til FTP.
Sårbarhed forkert kontrol af adgangsbegrænsninger for læsning og skrivning af data (Limit READ og Limit WRITE) i mod_copy-modulet, som bruges som standard og aktiveret i proftpd-pakker til de fleste distributioner. Det er bemærkelsesværdigt, at sårbarheden er en konsekvens af et lignende problem, som ikke er fuldstændig løst, i 2015, hvor der nu er identificeret nye angrebsvektorer. Desuden blev problemet rapporteret til udviklerne tilbage i september sidste år, men det var patchen for blot et par dage siden.
Problemet optræder også i de seneste aktuelle udgivelser af ProFTPd 1.3.6 og 1.3.5d. Rettelsen er tilgængelig som . Som en sikkerhedsløsning anbefales det at deaktivere mod_copy i konfigurationen. Sårbarheden er indtil videre kun rettet i og forbliver ukorrigeret , , , , (ProFTPD leveres ikke i RHEL-hovedlageret, og pakken fra EPEL-6 er ikke påvirket af problemet, fordi den ikke inkluderer mod_copy).
Kilde: opennet.ru