ProFTPD ftp серверинде коркунучтуу аялуу (), бул “site cpfr” жана “site cpto” буйруктарын колдонуп, аутентификациясыз сервердин ичиндеги файлдарды көчүрүүгө мүмкүндүк берет. көйгөй коркунучтун деңгээли 9.8дон 10, анткени ал FTPге анонимдүү кирүү мүмкүнчүлүгүн камсыз кылуу менен алыстан коддун аткарылышын уюштуруу үчүн колдонулушу мүмкүн.
Аялуулук Демейки боюнча колдонулган жана көпчүлүк бөлүштүрүүлөр үчүн proftpd пакеттеринде иштетилген mod_copy модулундагы маалыматтарды окуу жана жазуу үчүн кирүү чектөөлөрүн туура эмес текшерүү (Limit READ жана Limit WRITE). Белгилей кетчү нерсе, алсыздык толугу менен чечиле элек ушул сыяктуу көйгөйдүн натыйжасы болуп саналат, 2015-жылы, азыр жаңы чабуул векторлору аныкталган. Анын үстүнө, көйгөй иштеп чыгуучуларга өткөн жылдын сентябрь айында билдирилген, бирок патч болгон бир нече күн мурун.
Маселе ProFTPd 1.3.6 жана 1.3.5d акыркы учурдагы чыгарылыштарында да пайда болот. Оңдоо катары жеткиликтүү . Коопсуздукту чечүү үчүн, конфигурацияда mod_copy өчүрүү сунушталат. Алсыздык ушул кезге чейин гана оңдолду жана оңдолбогон бойдон калууда , , , , (ProFTPD негизги RHEL репозиторийинде берилбейт жана EPEL-6 пакетине көйгөй таасир этпейт, анткени анда mod_copy камтылган эмес).
Source: opennet.ru