Критическая уязвимость в FTP сервере ProFTPd

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен высокий уровень опасности , так как она может применяться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP, злоумышленник может получить полный доступ к серверу. Если вы используете ProFTPD  на своих  серверах на Linux, то нужно либо внести ограничения, они описаны ниже, либо установить патч. 

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов.

Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад.

Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora и остаётся неисправленной в Debian, SUSE/openSUSE, Ubuntu, FreeBSD, EPEL-7 (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy). 

Как устранить уязвимость ProFTPD? Необходимо скачать и установить патч

 
Источник

 

Наш телеграм-канал
Регулярно пишем о технологиях.
Подписаться
Гибридная ИТ-инфраструктура: как настроить интеграцию локальных и облачных ресурсовГибридная ИТ-инфраструктура: как настроить интеграцию локальных и облачных ресурсов

Интеграция облачных ресурсов и локального оборудования - это гармоничное дополнение возможностей традиционной ИТ-инфраструктуры, когда не хватает собственных ресурсов, а закупать новое оборудование дороже. Разберемся в статье как настроить интеграцию.

 

08 декабря, 2022
Тенденции развития облачных технологий до 2025 года: 85% компаний будут в “облаках”Тенденции развития облачных технологий до 2025 года: 85% компаний будут в “облаках”

К 2025 году более 85% компаний переориентируются на облачные решения и будут считать его приоритетным направлением для использования в бизнесе. В статье рассмотрим предпосылки и тенденции развития облака на основе аналитики исследовательской компании Gartner.

 

01 декабря, 2022
Работа с терминалом LinuxРабота с терминалом Linux

В предыдущей статье сделали подборку полезных комбинаций горячих клавиш терминала linux. Терминал linux остается главным инструментом по доступу к удаленным серверам и основным помощником в работе профессионалов и новичков, и в этой статье рассмотрим другие возможности работы с командной строкой.

 

25 ноября, 2022