LINUX.ORG.RU

Критическая уязвимость CVE-2019-12815 в ProFTPd

 , ,


1

0

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде патча. Как временное решение рекомендуется отключить mod_copy.

>>> Подробности

★★★★

Проверено: jollheef ()

Ответ на: комментарий от den73

А можно как-то оценить, давно ли существует эта уязвимость?

Навскидку...

Это в mod_copy.c, который вообще не менялся с 2016го. То есть уязвимости минимум 3 года.

Но код функции «cprf» и «cpto» почти не менялся с тех пор, как mod_copy добавили в proftpd в 2010м. То есть скорее всего уязвимости 9 лет.

anonymous ()