ProFTPD ftp серверінде қауіпті осалдық (), бұл «site cpfr» және «site cpto» пәрмендері арқылы аутентификациясыз сервердегі файлдарды көшіруге мүмкіндік береді. мәселе қауіптілік деңгейі 9.8-нан 10, себебі оны FTP-ге анонимді қатынасты қамтамасыз ету кезінде қашықтан кодты орындауды ұйымдастыру үшін пайдалануға болады.
Осалдық әдепкі бойынша пайдаланылатын және көптеген дистрибутивтер үшін proftpd бумаларында қосылған mod_copy модулінде деректерді оқу және жазу үшін кіру шектеулерінің қате тексеруі (ОҚУ шектеуі және ЖАЗУ шегі). Бір қызығы, осалдық толық шешілмеген ұқсас мәселенің салдары болып табылады, 2015 жылы жаңа шабуыл векторлары анықталды. Сонымен қатар, мәселе туралы әзірлеушілерге өткен жылдың қыркүйегінде хабарланған, бірақ патч болды бірнеше күн бұрын.
Мәселе ProFTPd 1.3.6 және 1.3.5d соңғы ағымдағы шығарылымдарында да пайда болады. Түзету қол жетімді . Қауіпсіздікті шешу үшін конфигурацияда mod_copy өшіру ұсынылады. Әзірге осалдық тек мынада ғана түзетілді және түзетілмей қалады , , , , (ProFTPD негізгі RHEL репозиторийінде берілмейді және EPEL-6 бумасына мәселе әсер етпейді, себебі оған mod_copy кірмейді).
Ақпарат көзі: opennet.ru