Am ProFTPD ftp Server geféierlech Schwachstelle (), wat Iech erlaabt Dateien am Server ze kopéieren ouni Authentifikatioun mat de Kommandoen "Site cpfr" an "Site cpto". Problem Geforenniveau 9.8 vun 10, well et ka benotzt ginn fir d'Remote Code Ausféierung z'organiséieren wärend anonymen Zougang zu FTP ubitt.
Schwachstelle falsch Iwwerpréiwung vun Zougangsbeschränkungen fir d'Liesen a Schreiwen vun Donnéeën (Limit READ a Limit WRITE) am mod_copy Modul, deen als Standard benotzt gëtt an a proftpd Packagen fir déi meescht Distributiounen aktivéiert ass. Et ass bemierkenswäert datt d'Schwachheet eng Konsequenz vun engem ähnleche Problem ass deen net komplett geléist gouf, an 2015, fir déi nei Attack Vecteure goufen elo identifizéiert. Ausserdeem gouf de Problem un d'Entwéckler am September d'lescht Joer gemellt, awer de Patch war just virun e puer Deeg.
De Problem erschéngt och an de leschten aktuellen Verëffentlechunge vu ProFTPd 1.3.6 an 1.3.5d. De Fix ass verfügbar als . Als Sécherheetsléisung ass et recommandéiert mod_copy an der Konfiguratioun auszeschalten. D'Vulnerabilitéit ass bis elo just fixéiert ginn a bleift onkorrigéiert , , , , (ProFTPD gëtt net am Haapt RHEL Repository geliwwert, an de Package vun EPEL-6 ass net vum Problem beaflosst well et net mod_copy enthält).
Source: opennet.ru