I ProFTPD ftp-serveren farlig sårbarhet (), som lar deg kopiere filer på serveren uten autentisering ved å bruke kommandoene "site cpfr" og "site cpto". problem farenivå 9.8 av 10, siden den kan brukes til å organisere ekstern kjøring av kode samtidig som den gir anonym tilgang til FTP.
Sårbarhet feil sjekk av tilgangsbegrensninger for lesing og skriving av data (Limit READ og Limit WRITE) i mod_copy-modulen, som brukes som standard og aktivert i proftpd-pakker for de fleste distribusjoner. Det er verdt å merke seg at sårbarheten er en konsekvens av et lignende problem som ikke er fullstendig løst, i 2015, som det nå er identifisert nye angrepsvektorer for. Dessuten ble problemet rapportert til utviklerne i september i fjor, men oppdateringen ble det for bare noen dager siden.
Problemet vises også i de siste gjeldende utgivelsene av ProFTPd 1.3.6 og 1.3.5d. Reparasjonen er tilgjengelig som . Som en sikkerhetsløsning anbefales det å deaktivere mod_copy i konfigurasjonen. Sårbarheten er så langt kun fikset i og forblir ukorrigert , , , , (ProFTPD leveres ikke i RHEL-hovedlageret, og pakken fra EPEL-6 påvirkes ikke av problemet fordi den ikke inkluderer mod_copy).
Kilde: opennet.ru