ProFTPD ftp serverī bīstama ievainojamība (), kas ļauj kopēt failus serverī bez autentifikācijas, izmantojot komandas “site cpfr” un “site cpto”. problēma bīstamības līmenis 9.8 no 10, jo to var izmantot, lai organizētu attālinātu koda izpildi, vienlaikus nodrošinot anonīmu piekļuvi FTP.
Neaizsargātība nepareiza piekļuves ierobežojumu pārbaude datu lasīšanai un rakstīšanai (Limit READ un Limit WRITE) mod_copy modulī, kas tiek izmantots pēc noklusējuma un ir iespējots proftpd pakotnēs lielākajai daļai izplatījumu. Jāatzīmē, ka ievainojamība ir līdzīgas problēmas sekas, kas nav pilnībā atrisinātas, 2015. gadā, kam tagad ir identificēti jauni uzbrukuma vektori. Turklāt par problēmu izstrādātājiem tika ziņots jau pagājušā gada septembrī, taču ielāps bija tikai pirms dažām dienām.
Problēma parādās arī jaunākajos ProFTPd 1.3.6 un 1.3.5d laidienos. Labojums ir pieejams kā . Kā drošības risinājums ir ieteicams konfigurācijā atspējot mod_copy. Ievainojamība līdz šim ir novērsta tikai un paliek neizlabots , , , , (ProFTPD netiek piegādāts galvenajā RHEL repozitorijā, un EPEL-6 pakotni problēma neietekmē, jo tajā nav iekļauts mod_copy).
Avots: opennet.ru