W ProFTPd (popularnym serwerze FTP) została zidentyfikowana krytyczna luka (CVE-2019-12815). Operacja umożliwia kopiowanie plików w obrębie serwera bez uwierzytelniania za pomocą poleceń „site cpfr” i „site cpto”, także na serwerach z dostępem anonimowym.
Przyczyną luki jest nieprawidłowe sprawdzenie ograniczeń dostępu do odczytu i zapisu danych (Limit READ i Limit WRITE) w module mod_copy, który jest domyślnie używany i włączony w pakietach proftpd dla większości dystrybucji.
Wszystkie aktualne wersje we wszystkich dystrybucjach z wyjątkiem Fedory są podatne na ataki. Poprawka jest obecnie dostępna jako skrawek. Jako rozwiązanie tymczasowe zaleca się wyłączenie mod_copy.
Źródło: linux.org.ru