ProFTPD ftp ಸರ್ವರ್ನಲ್ಲಿ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆ (), ಇದು "ಸೈಟ್ cpfr" ಮತ್ತು "site cpto" ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣವಿಲ್ಲದೆಯೇ ಸರ್ವರ್ನಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ನಕಲಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆ ಅಪಾಯದ ಮಟ್ಟ 9.8 ರಲ್ಲಿ 10, ಏಕೆಂದರೆ FTP ಗೆ ಅನಾಮಧೇಯ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವಾಗ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಂಘಟಿಸಲು ಇದನ್ನು ಬಳಸಬಹುದು.
ದುರ್ಬಲತೆ mod_copy ಮಾಡ್ಯೂಲ್ನಲ್ಲಿ ಡೇಟಾವನ್ನು ಓದಲು ಮತ್ತು ಬರೆಯಲು ಪ್ರವೇಶ ನಿರ್ಬಂಧಗಳ ತಪ್ಪಾದ ಪರಿಶೀಲನೆ (ರಿಮಿಟ್ ರೀಡ್ ಮತ್ತು ಲಿಮಿಟ್ ರೈಟ್), ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ವಿತರಣೆಗಳಿಗೆ proftpd ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಇದೇ ರೀತಿಯ ಸಮಸ್ಯೆಯ ಪರಿಣಾಮವಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ, ಅದನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಹರಿಸಲಾಗಿಲ್ಲ, 2015 ರಲ್ಲಿ, ಹೊಸ ದಾಳಿ ವಾಹಕಗಳನ್ನು ಈಗ ಗುರುತಿಸಲಾಗಿದೆ. ಇದಲ್ಲದೆ, ಕಳೆದ ವರ್ಷ ಸೆಪ್ಟೆಂಬರ್ನಲ್ಲಿ ಡೆವಲಪರ್ಗಳಿಗೆ ಸಮಸ್ಯೆಯನ್ನು ವರದಿ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಪ್ಯಾಚ್ ಆಗಿತ್ತು ಕೆಲವೇ ದಿನಗಳ ಹಿಂದೆ.
ProFTPd 1.3.6 ಮತ್ತು 1.3.5d ನ ಇತ್ತೀಚಿನ ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಸಹ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. ಪರಿಹಾರವು ಲಭ್ಯವಿದೆ . ಭದ್ರತಾ ಪರಿಹಾರವಾಗಿ, ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ mod_copy ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ಇಲ್ಲಿಯವರೆಗೆ ಮಾತ್ರ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಸರಿಪಡಿಸದೆ ಉಳಿದಿದೆ , , , , (ProFTPD ಅನ್ನು ಮುಖ್ಯ RHEL ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಸರಬರಾಜು ಮಾಡಲಾಗಿಲ್ಲ, ಮತ್ತು EPEL-6 ನಿಂದ ಪ್ಯಾಕೇಜ್ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ ಏಕೆಂದರೆ ಅದು mod_copy ಅನ್ನು ಒಳಗೊಂಡಿಲ್ಲ).
ಮೂಲ: opennet.ru