ProFTPD ftp -palvelimessa vaarallinen haavoittuvuus (), jonka avulla voit kopioida tiedostoja palvelimen sisällä ilman todennusta käyttämällä komentoja "site cpfr" ja "site cpto". ongelma vaarataso 9.8/10, koska sitä voidaan käyttää koodin etäsuorittamisen järjestämiseen samalla kun se tarjoaa anonyymin pääsyn FTP:hen.
Haavoittuvuus virheellinen tarkistus tietojen lukemisen ja kirjoittamisen (Limit READ ja Limit WRITE) käyttörajoitukset mod_copy-moduulissa, jota käytetään oletuksena ja joka on otettu käyttöön proftpd-paketeissa useimmissa jakeluissa. On huomionarvoista, että haavoittuvuus on seurausta vastaavasta ongelmasta, jota ei ole täysin ratkaistu, vuonna 2015, jolle on nyt tunnistettu uusia hyökkäysvektoreita. Lisäksi ongelmasta ilmoitettiin kehittäjille viime vuoden syyskuussa, mutta korjaustiedosto oli vain muutama päivä sitten.
Ongelma ilmenee myös uusimmissa ProFTPd 1.3.6- ja 1.3.5d -julkaisuissa. Korjaus on saatavilla muodossa . Suojauksen kiertotapana on suositeltavaa poistaa mod_copy käytöstä määrityksessä. Haavoittuvuus on toistaiseksi korjattu vain sisään ja jää korjaamatta , , , , (ProFTPD:tä ei toimiteta RHEL-päävarastossa, eikä ongelma vaikuta EPEL-6:n pakettiin, koska se ei sisällä mod_copya).
Lähde: opennet.ru