ProFTPd (populārajā ftp serverī) ir konstatēta kritiska ievainojamība (CVE-2019-12815). Darbība ļauj kopēt failus serverī bez autentifikācijas, izmantojot komandas “site cpfr” un “site cpto”, tostarp serveros ar anonīmu piekļuvi.
Ievainojamību izraisa nepareiza piekļuves ierobežojumu pārbaude datu lasīšanai un rakstīšanai (Limit READ un Limit WRITE) mod_copy modulī, kas tiek izmantots pēc noklusējuma un ir iespējots proftpd pakotnēs lielākajai daļai izplatījumu.
Tiek ietekmētas visas pašreizējās versijas visos izplatījumos, izņemot Fedora. Labojums pašlaik ir pieejams kā plāksteris. Kā pagaidu risinājumu ieteicams atspējot mod_copy.
Avots: linux.org.ru