I ProFTPD ftp-servern farlig sårbarhet (), som låter dig kopiera filer på servern utan autentisering med hjälp av kommandona "site cpfr" och "site cpto". problem risknivå 9.8 av 10, eftersom den kan användas för att organisera fjärrkörning av kod samtidigt som den ger anonym åtkomst till FTP.
Sårbarhet felaktig kontroll av åtkomstbegränsningar för att läsa och skriva data (Limit READ och Limit WRITE) i modulen mod_copy, som används som standard och aktiverad i proftpd-paket för de flesta distributioner. Det är anmärkningsvärt att sårbarheten är en följd av ett liknande problem som inte är helt löst, under 2015, för vilka nya attackvektorer nu har identifierats. Dessutom rapporterades problemet till utvecklarna redan i september förra året, men det var patchen bara för några dagar sedan.
Problemet förekommer också i de senaste aktuella versionerna av ProFTPd 1.3.6 och 1.3.5d. Fixeringen är tillgänglig som . Som en säkerhetslösning rekommenderas det att inaktivera mod_copy i konfigurationen. Sårbarheten har hittills åtgärdats endast i och förblir okorrigerad , , , , (ProFTPD tillhandahålls inte i RHEL-huvudförrådet, och paketet från EPEL-6 påverkas inte av problemet eftersom det inte inkluderar mod_copy).
Källa: opennet.ru