ProFTPd(一种流行的 ftp 服务器)中发现了一个严重漏洞 (CVE-2019-12815)。 该操作允许您使用“site cpfr”和“site cpto”命令在无需身份验证的情况下复制服务器内的文件,包括在具有匿名访问的服务器上。
该漏洞是由于对 mod_copy 模块中读取和写入数据的访问限制(Limit READ 和 Limit WRITE)的错误检查造成的,该模块默认使用并在大多数发行版的 proftpd 软件包中启用。
除 Fedora 之外的所有发行版上的所有当前版本都会受到影响。 该修复目前可用 修补。 作为临时解决方案,建议禁用 mod_copy。
来源: linux.org.ru