Nan sèvè ftp ProFTPD vilnerabilite danjere (), ki pèmèt ou kopye fichye nan sèvè a san otantifikasyon lè l sèvi avèk kòmandman "site cpfr" ak "site cpto". pwoblèm nivo danje 9.8 soti nan 10, depi li ka itilize yo òganize ekzekisyon kòd aleka pandan y ap bay aksè anonim nan FTP.
Vulnerabilite Tcheke kòrèk nan restriksyon aksè pou lekti ak ekri done (Limit READ ak Limit WRITE) nan mod_copy modil la, ki se itilize pa default ak aktive nan pakè proftpd pou pifò distribisyon. Li enpòtan pou remake ke vilnerabilite a se yon konsekans yon pwoblèm menm jan an ki pa te konplètman rezoud, an 2015, pou ki nouvo vektè atak yo kounye a te idantifye. Anplis, pwoblèm nan te rapòte bay devlopè yo tounen nan mwa septanm nan ane pase a, men patch la te jis kèk jou de sa.
Pwoblèm nan parèt tou nan dènye degaje aktyèl yo nan ProFTPd 1.3.6 ak 1.3.5d. Ranje a disponib kòm . Kòm yon solisyon sekirite, li rekòmande pou enfim mod_copy nan konfigirasyon an. Te vilnerabilite a byen lwen tèlman te fiks sèlman nan epi li rete san korije , , , , (ProFTPD pa apwovizyone nan depo prensipal la RHEL, ak pake ki soti nan EPEL-6 pa afekte pa pwoblèm nan paske li pa gen ladan mod_copy).
Sous: opennet.ru