Dina server ftp ProFTPD kerentanan bahaya (), anu ngamungkinkeun anjeun nyalin file dina server tanpa auténtikasi nganggo paréntah "site cpfr" sareng "site cpto". masalah tingkat bahaya 9.8 ti 10, saprak éta bisa dipaké pikeun ngatur palaksanaan kode jauh bari nyadiakeun aksés anonim ka FTP.
Kerentanan cek salah sahiji larangan aksés pikeun maca jeung nulis data (Wates BACA jeung BAWAS NULIS) dina modul mod_copy, nu dipaké sacara standar sarta diaktipkeun dina bungkusan proftpd keur paling sebaran. Catet yén kerentanan mangrupikeun akibat tina masalah anu sami anu teu acan direngsekeun lengkep, dina 2015, nu vektor serangan anyar ayeuna geus pasti. Leuwih ti éta, masalah ieu dilaporkeun ka pamekar deui dina bulan Séptember taun ka tukang, tapi patch éta ngan sababaraha poé katukang.
Masalahna ogé muncul dina sékrési panganyarna ProFTPd 1.3.6 sareng 1.3.5d. Perbaikan na sayogi salaku . Salaku workaround kaamanan, disarankeun pikeun nganonaktipkeun mod_copy dina konfigurasi. Kerentanan dugi ka ayeuna parantos dibenerkeun ngan dina sarta tetep uncorrected , , , , (ProFTPD teu disadiakeun dina Repository RHEL utama, sarta pakét ti EPEL-6 teu kapangaruhan ku masalah sabab teu kaasup mod_copy).
sumber: opennet.ru