Yn de ProFTPD ftp-tsjinner gefaarlike kwetsberens (), wêrtroch jo bestannen binnen de tsjinner kinne kopiearje sûnder autentikaasje mei de kommando's "site cpfr" en "site cpto". probleem gefaar nivo 9.8 fan 10, sûnt it kin brûkt wurde om te organisearjen remote koade útfiering wylst it jaan fan anonime tagong ta FTP.
Kwetsberens ferkearde kontrôle fan tagongsbeperkingen foar it lêzen en skriuwen fan gegevens (Limit READ en Limit WRITE) yn 'e mod_copy-module, dy't standert brûkt wurdt en ynskeakele is yn proftpd-pakketten foar de measte distribúsjes. It is opmerklik dat de kwetsberens in gefolch is fan in ferlykber probleem dat net folslein oplost is, yn 2015, dêr't no nije oanfal vectors binne identifisearre. Boppedat waard it probleem yn septimber ferline jier rapportearre oan de ûntwikkelders, mar de patch wie krekt in pear dagen lyn.
It probleem ferskynt ek yn 'e lêste aktuele releases fan ProFTPd 1.3.6 en 1.3.5d. De fix is beskikber as . As befeiligingsoplossing wurdt it oanrikkemandearre om mod_copy yn 'e konfiguraasje út te skeakeljen. De kwetsberens is oant no ta allinnich fêstlein yn en bliuwt net korrizjearre , , , , (ProFTPD wurdt net levere yn de wichtichste RHEL repository, en it pakket fan EPEL-6 wurdt net beynfloede troch it probleem omdat it net befetsje mod_copy).
Boarne: opennet.ru