Критическая уязвимость в FTP сервере ProFTPd

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен высокий уровень опасности , так как она может применяться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP, злоумышленник может получить полный доступ к серверу. Если вы используете ProFTPD  на своих  серверах на Linux, то нужно либо внести ограничения, они описаны ниже, либо установить патч. 

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад.

Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora и остаётся неисправленной в Debian, SUSE/openSUSE, Ubuntu, FreeBSD, EPEL-7 (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy). 

Как устранить уязвимость ProFTPD? Необходимо скачать и установить патч

 
Источник

 

Установка Nextcloud на Ubuntu 19

Чтобы организовать простой доступ к документам с возможностью обмена данными между сотрудниками организации и высокой степенью защиты, можно использовать бесплатной и открытое решение Nextcloud, которое имеет своё приложение для платформ Windows, iOS и Android. В статье рассмотрим установку Nextcloud на Ubuntu 19.

Октябрь 18, 2019
Новая версия VMware Tools 11 доступна для установки!

Компания VMware выпустила новую версию VMware Tools для гостевых операционных систем, где была повышена стабильность и производительность коммуникации между хостом и гостевой ОС.

Октябрь 17, 2019
Новая CentOS 8 уже доступна для установки в нашем облаке

Дистрибутив новой CentOS 8 уже доступен для установке в нашем облаке . Пользователи услуги Виртуальная инфраструктура IaaS уже могут найти его в репозитории образов, пользователям услуги Виртуальных серверов VPS необходимо создать запрос в поддержку. 

Октябрь 04, 2019