У програмному забезпеченні ProFTPD для Linux і UNIX-подібних операційних систем була виявлена критична уразливість, що дозволяє віддалено виконати довільний код і розкрити інформацію.
ProFTPd – багатоплатформний FTP-сервер з відкритим вихідним кодом, що підтримує більшість UNIX-подібних систем і Linux. Уразливість зачіпає всі версії ProFTPd аж до 1.3.5b включно.
Уразливість (CVE-2019-12815) була виявлена в модулі mod_copy, що поставляються в дефолтній збірці ProFTPd і входить за замовчуванням в більшість дистрибутивів (наприклад, Debian). Передавання команд CPFR, CPTO на сервер ProFTPd дозволяє користувачам без права на запис копіювати будь-які файли на FTP-сервер. Баг пов’язаний з уразливістю 2015 року (CVE-2015-3306), яка дозволяла зловмисникам віддалено читати і записувати довільні файли, використовуючи команди SITE CPFR і SITE CPTO.
Розробники випустили виправлену версію ProFTPd 1.3.6 17 липня нинішнього року. У разі неможливості встановити оновлену версію ПЗ користувачам рекомендується відключити модуль mod_copy в налаштуваннях сервера.
Згідно з результатами пошуку Shodan, на цей момент у Мережі налічується більше 1 млн. вразливих серверів ProFTPd, і тільки чотири вже були оновлені з моменту випуску виправленої версії ProFTPd 1.3.6.
Автор публікації
