Một lỗ hổng nghiêm trọng (CVE-2019-12815) đã được xác định trong ProFTPd (một máy chủ ftp phổ biến). Hoạt động cho phép bạn sao chép các tập tin trong máy chủ mà không cần xác thực bằng cách sử dụng lệnh “site cpfr” và “site cpto”, kể cả trên các máy chủ có quyền truy cập ẩn danh.
Lỗ hổng này xảy ra do việc kiểm tra không chính xác các hạn chế truy cập để đọc và ghi dữ liệu (Giới hạn ĐỌC và Giới hạn VIẾT) trong mô-đun mod_copy, được sử dụng theo mặc định và được bật trong các gói proftpd cho hầu hết các bản phân phối.
Tất cả các phiên bản hiện tại trên tất cả các bản phân phối ngoại trừ Fedora đều bị ảnh hưởng. Bản sửa lỗi hiện có sẵn dưới dạng vá. Là giải pháp tạm thời, bạn nên tắt mod_copy.
Nguồn: linux.org.ru