ProFTPD ftp serveris ohtlik haavatavus (), mis võimaldab teil kopeerida serveris faile ilma autentimiseta, kasutades käske "site cpfr" ja "site cpto". probleem ohutase 9.8 10-st, kuna seda saab kasutada koodi kaugkäitamise korraldamiseks, pakkudes samal ajal anonüümset juurdepääsu FTP-le.
Haavatavus andmete lugemise ja kirjutamise juurdepääsupiirangute vale kontroll (Limit READ ja Limit WRITE) moodulis mod_copy, mida kasutatakse vaikimisi ja mis on enamiku distributsioonide puhul lubatud proftpd pakettides. Tähelepanuväärne on, et haavatavus on sarnase probleemi tagajärg, mida pole täielikult lahendatud, aastal 2015, mille jaoks on nüüdseks tuvastatud uued rünnakuvektorid. Pealegi teatati probleemist arendajatele juba eelmise aasta septembris, kuid plaaster oli vaid paar päeva tagasi.
Probleem ilmneb ka ProFTPd 1.3.6 ja 1.3.5d viimastes praegustes versioonides. Parandus on saadaval kujul . Turvalahendusena on soovitatav konfiguratsioonis mod_copy keelata. Haavatavus on seni parandatud ainult sisse ja jääb parandamata , , , , (ProFTPD-d ei pakuta peamises RHEL-i hoidlas ja probleem ei mõjuta EPEL-6 paketti, kuna see ei sisalda mod_copy-d).
Allikas: opennet.ru