У ProFTPd (популярний ftp-server) виявлено критичну вразливість (CVE-2019-12815). Експлуатація дозволяє копіювати файли в межах сервера без аутентифікації за допомогою команд "site cpfr" та "site cpto", у тому числі і на серверах з анонімним доступом.
Вразливість викликана некоректною перевіркою обмежень доступу на читання та запис даних (Limit READ та Limit WRITE) у модулі mod_copy, який застосовується за умовчанням та включений у пакетах proftpd для більшості дистрибутивів.
Уразливості схильні до всіх актуальних версій у всіх дистрибутивах, крім Fedora. На даний момент виправлення доступне у вигляді патча. Як тимчасове рішення, рекомендується відключити mod_copy.
Джерело: linux.org.ru