Во ftp серверот ProFTPD опасна ранливост (), што ви овозможува да копирате датотеки во серверот без автентикација користејќи ги командите „site cpfr“ и „site cpto“. проблем ниво на опасност 9.8 од 10, бидејќи може да се користи за организирање на далечинско извршување на кодот додека обезбедува анонимен пристап до FTP.
Ранливост неправилна проверка на ограничувањата за пристап за читање и пишување податоци (Limit READ и Limit WRITE) во модулот mod_copy, кој стандардно се користи и е овозможен во proftpd пакетите за повеќето дистрибуции. Забележливо е дека ранливоста е последица на сличен проблем кој не е целосно решен, во 2015 година, за што сега се идентификувани нови вектори за напад. Покрај тоа, проблемот беше пријавен кај програмерите уште во септември минатата година, но закрпата беше пред само неколку дена.
Проблемот се појавува и во најновите тековни изданија на ProFTPd 1.3.6 и 1.3.5d. Поправката е достапна како . Како безбедносно решение, се препорачува да се оневозможи mod_copy во конфигурацијата. Ранливоста досега беше поправена само во и останува некорегирана , , , , (ProFTPD не е доставен во главното складиште на RHEL, а пакетот од EPEL-6 не е засегнат од проблемот бидејќи не вклучува mod_copy).
Извор: opennet.ru