Une vulnérabilité critique (CVE-2019-12815) a été identifiée dans ProFTPd (un serveur FTP populaire). Son fonctionnement permet de copier des fichiers au sein du serveur sans authentification à l'aide des commandes « site cpfr » et « site cpto », y compris sur des serveurs à accès anonyme.
La vulnérabilité est causée par une vérification incorrecte des restrictions d'accès pour la lecture et l'écriture des données (Limit READ et Limit WRITE) dans le module mod_copy, qui est utilisé par défaut et activé dans les packages proftpd pour la plupart des distributions.
Toutes les versions actuelles de toutes les distributions, à l'exception de Fedora, sont concernées. Le correctif est actuellement disponible sous correctif. Comme solution temporaire, il est recommandé de désactiver mod_copy.
Source: linux.org.ru