In ProFTPd (einem beliebten FTP-Server) wurde eine kritische Schwachstelle (CVE-2019-12815) identifiziert. Der Betrieb ermöglicht das Kopieren von Dateien innerhalb des Servers ohne Authentifizierung mithilfe der Befehle „site cpfr“ und „site cpto“, auch auf Servern mit anonymem Zugriff.
Die Schwachstelle wird durch eine fehlerhafte Überprüfung der Zugriffsbeschränkungen zum Lesen und Schreiben von Daten (Limit READ und Limit WRITE) im Modul mod_copy verursacht, das standardmäßig verwendet und in proftpd-Paketen für die meisten Distributionen aktiviert ist.
Betroffen sind alle aktuellen Versionen aller Distributionen außer Fedora. Der Fix ist derzeit verfügbar als Patch. Als vorübergehende Lösung wird empfohlen, mod_copy zu deaktivieren.
Source: linux.org.ru