В программном обеспечении ProFTPD для Linux и UNIX-подобных операционных систем была обнаружена критическая уязвимость, позволяющая удаленно выполнить произвольный код и раскрыть информацию.
ProFTPd — кроссплатформенный FTP-сервер с открытым исходным кодом, поддерживающий большинство UNIX-подобных систем и Windows. Уязвимость затрагивает все версии ProFTPd вплоть до 1.3.5b включительно.
Уязвимость (CVE-2019-12815) была в модуле mod_copy, поставляющемся в дефолтной сборке ProFTPd и включенном по умолчанию в большинстве дистрибутивов (например, Debian). Передача команд CPFR, CPTO на сервер ProFTPd позволяет пользователям без права на запись копировать любые файлы на FTP-сервер. Баг связан с уязвимостью 2015 года (CVE-2015-3306), которая позволяла злоумышленникам удаленно читать и записывать произвольные файлы, используя команды SITE CPFR и SITE CPTO.
Разработчики выпустили исправленную версию ProFTPd 1.3.6 17 июля нынешнего года. В случае невозможности установить обновленную версию ПО пользователям рекомендуется отключить модуль mod_copy в настройках сервера.
Согласно результатам поиска Shodan, на данный момент в сети насчитывается более 1 млн уязвимых серверов ProFTPd, и только четыре уже были обновлены с момента выпуска исправленной версии ProFTPd 1.3.6.