ProFTPD ftp سرور میں خطرناک کمزوری ()، جو آپ کو "site cpfr" اور "site cpto" کمانڈز کا استعمال کرتے ہوئے بغیر تصدیق کے سرور کے اندر فائلوں کو کاپی کرنے کی اجازت دیتا ہے۔ مسئلہ خطرے کی سطح 9.8 میں سے 10، کیونکہ اسے ایف ٹی پی تک گمنام رسائی فراہم کرتے ہوئے ریموٹ کوڈ پر عمل درآمد کو منظم کرنے کے لیے استعمال کیا جا سکتا ہے۔
کمزوری mod_copy ماڈیول میں ڈیٹا کو پڑھنے اور لکھنے کے لیے رسائی کی پابندیوں کی غلط جانچ پڑتال (Limit READ and Limit WRITE) جو کہ ڈیفالٹ کے طور پر استعمال ہوتا ہے اور زیادہ تر تقسیم کے لیے proftpd پیکجوں میں فعال ہوتا ہے۔ یہ قابل ذکر ہے کہ کمزوری اسی طرح کے مسئلے کا نتیجہ ہے جو مکمل طور پر حل نہیں ہوا ہے، 2015 میں، جس کے لیے اب نئے حملہ آوروں کی نشاندہی کی گئی ہے۔ مزید یہ کہ اس مسئلے کی اطلاع گزشتہ سال ستمبر میں ڈویلپرز کو دی گئی تھی، لیکن پیچ تھا۔ ابھی چند دن پہلے.
مسئلہ ProFTPd 1.3.6 اور 1.3.5d کی تازہ ترین ریلیز میں بھی ظاہر ہوتا ہے۔ فکس کے طور پر دستیاب ہے۔ . حفاظتی کام کے طور پر، کنفیگریشن میں mod_copy کو غیر فعال کرنے کی سفارش کی جاتی ہے۔ خطرے کو اب تک صرف میں طے کیا گیا ہے۔ اور غیر درست رہتا ہے۔ , , , , (ProFTPD مرکزی RHEL ذخیرہ میں فراہم نہیں کیا جاتا ہے، اور EPEL-6 کا پیکیج اس مسئلے سے متاثر نہیں ہوتا ہے کیونکہ اس میں mod_copy شامل نہیں ہے)۔
ماخذ: opennet.ru