Í ProFTPD ftp þjóninum hættulegt varnarleysi (), sem gerir þér kleift að afrita skrár innan netþjónsins án auðkenningar með því að nota „site cpfr“ og „site cpto“ skipanirnar. vandamál hættustig 9.8 af 10, þar sem það er hægt að nota til að skipuleggja fjarkóðunarframkvæmd á meðan það veitir nafnlausan aðgang að FTP.
Viðkvæmni röng athugun á aðgangstakmörkunum fyrir lestur og ritun gagna (Limit READ og Limit WRITE) í mod_copy einingunni, sem er sjálfgefið notuð og virkjuð í proftpd pökkum fyrir flestar dreifingar. Það er athyglisvert að varnarleysið er afleiðing af svipuðu vandamáli sem ekki hefur verið leyst að fullu, árið 2015, sem nýir árásarferlar hafa nú verið auðkenndir fyrir. Þar að auki var vandamálið tilkynnt til þróunaraðila aftur í september á síðasta ári, en plásturinn var fyrir örfáum dögum síðan.
Vandamálið birtist einnig í nýjustu núverandi útgáfum af ProFTPd 1.3.6 og 1.3.5d. Lagfæringin er fáanleg sem . Sem öryggislausn er mælt með því að slökkva á mod_copy í uppsetningunni. Varnarleysið hefur hingað til aðeins verið lagað í og er óleiðrétt , , , , (ProFTPD er ekki til staðar í aðal RHEL geymslunni og pakkinn frá EPEL-6 hefur ekki áhrif á vandamálið vegna þess að það inniheldur ekki mod_copy).
Heimild: opennet.ru