Katika seva ya ProFTPD ftp udhaifu hatari (), ambayo hukuruhusu kunakili faili ndani ya seva bila uthibitishaji kwa kutumia amri za "cpfr" na "tovuti cpto". tatizo kiwango cha hatari 9.8 kati ya 10, kwa kuwa kinaweza kutumika kupanga utekelezaji wa msimbo wa mbali huku ukitoa ufikiaji usiojulikana kwa FTP.
Uwezo wa kuathiriwa ukaguzi usio sahihi wa vizuizi vya ufikiaji wa kusoma na kuandika data (Kikomo SOMA na Ukomo WRITE) katika moduli ya mod_copy, ambayo hutumiwa kwa chaguo-msingi na kuwezeshwa katika vifurushi vya proftpd kwa usambazaji mwingi. Ni vyema kutambua kwamba udhaifu huo ni matokeo ya tatizo kama hilo ambalo halijatatuliwa kabisa, katika 2015, ambayo vekta mpya za mashambulizi sasa zimetambuliwa. Kwa kuongezea, shida iliripotiwa kwa watengenezaji mnamo Septemba mwaka jana, lakini kiraka kilikuwa siku chache tu zilizopita.
Tatizo pia linaonekana katika matoleo ya hivi karibuni ya ProFTPd 1.3.6 na 1.3.5d. Marekebisho yanapatikana kama . Kama njia ya usalama, inashauriwa kuzima mod_copy katika usanidi. Athari ya kuathiriwa hadi sasa imerekebishwa ndani tu na kubaki bila kurekebishwa , , , , (ProFTPD haijatolewa katika hazina kuu ya RHEL, na kifurushi kutoka EPEL-6 hakiathiriwi na tatizo kwa sababu hakijumuishi mod_copy).
Chanzo: opennet.ru