Dalam pelayan ftp ProFTPD kerentanan berbahaya (), yang membolehkan anda menyalin fail dalam pelayan tanpa pengesahan menggunakan arahan "cpfr tapak" dan "cpto tapak". masalah tahap bahaya 9.8 daripada 10, kerana ia boleh digunakan untuk mengatur pelaksanaan kod jauh sambil menyediakan akses tanpa nama kepada FTP.
Kerentanan semakan sekatan akses yang salah untuk membaca dan menulis data (Hadkan BACA dan Hadkan TULIS) dalam modul mod_copy, yang digunakan secara lalai dan didayakan dalam pakej proftpd untuk kebanyakan pengedaran. Perlu diperhatikan bahawa kelemahan adalah akibat daripada masalah yang sama yang belum diselesaikan sepenuhnya, pada 2015, yang mana vektor serangan baharu kini telah dikenal pasti. Lebih-lebih lagi, masalah itu telah dilaporkan kepada pemaju pada bulan September tahun lepas, tetapi tampalannya adalah baru beberapa hari lepas.
Masalahnya juga muncul dalam keluaran terkini ProFTPd 1.3.6 dan 1.3.5d. Pembetulan tersedia sebagai . Sebagai penyelesaian keselamatan, adalah disyorkan untuk melumpuhkan mod_copy dalam konfigurasi. Kerentanan setakat ini telah diperbaiki hanya dalam dan tetap tidak diperbetulkan , , , , (ProFTPD tidak dibekalkan dalam repositori RHEL utama, dan pakej dari EPEL-6 tidak terjejas oleh masalah kerana ia tidak termasuk mod_copy).
Sumber: opennet.ru