In ProFTPd (einem beliebten FTP-Server) wurde eine kritische Sicherheitslücke (CVE-2019-12815) entdeckt. Die Ausnutzung dieser Sicherheitslücke ermöglicht das Kopieren von Dateien innerhalb des Servers ohne Authentifizierung mithilfe der Befehle „site cpfr“ und „site cpto“, auch auf Servern mit anonymem Zugriff.
Die Sicherheitslücke wird durch eine fehlerhafte Überprüfung der Lese- und Schreibzugriffsbeschränkungen (Limit READ und Limit WRITE) im Modul mod_copy verursacht, das standardmäßig verwendet und in Proftpd-Paketen für die meisten Distributionen aktiviert ist.
Die Sicherheitslücke betrifft alle aktuellen Versionen in allen Distributionen außer Fedora. Ein Fix ist derzeit verfügbar als PatchAls vorübergehende Lösung wird empfohlen, mod_copy zu deaktivieren.
Source: linux.org.ru
