近日,ProFTPd官方修复了一个任意文件拷贝漏洞(CVE-2019-12815)。该漏洞源于mod_copy模块中的自定义SITE CPFR和SITE CPTO操作,通过发起这2个命令给ProFTPd,攻击者可以在没有权限的情况下拷贝FTP服务器上的任何文件。
官方Bugtracker:
http://bugs.proftpd.org/show_bug.cgi?id=4372
ProFTPd是一个开源和跨平台的FTP服务器,支持大多数类UNIX系统和Windows,在全球有百万用户,是最受欢迎的FTP服务器之一。此次受影响的mod_copy模块在大多数UNIX发行中(例如Debian)都是默认开启的。
ProFTPd已经在新发布的1.3.6版本中修复了上述漏洞,建议受影响的用户尽快升级进行防护。
不方便立即更新的用户可以将mod_copy模块禁用来进行临时防护。
ProFTPd也发布了可用于1.3.5版本的修复代码:
https://github.com/ProFTPd/ProFTPd/pull/816/commits/71cd49ea82313f78d52a52d0c628a3770dc96608
ProFTPd 1.3.6版本下载地址:
https://github.com/ProFTPd/ProFTPd/releases
评论已关闭。