ProFTPD是一个开源,跨平台的FTP服务软件,支持大多数类Unix系统和Windows,是Unix平台下最流行的FTP服务软件之一,且同时支持Pure-FTPD和vsftpd。
而最近,ProFTPD被曝出任意文件复制漏洞,可导致超过一百万多台安装了ProFTPD的服务器受到远程命令执行和信息泄漏攻击。
所有版本在1.3.5b及其以下的ProFTPD软件都会受到该漏洞影响,攻击者只要成功利用该漏洞,就能在无需进行身份验证的情况下,以ProFTPD服务的权限执行任意命令。
ProFTPD 1.3.6版本已修复
该漏洞是由Tobias M?del发现的,被标记为CVE-2019-12815,漏洞根源在于mod_copy模块。发现者是在去年9月28日向ProFTPD安全团队报告的,漏洞修补后的ProFTPD 1.3.6版本已于7月17日对外发布。
根据M?del的描述:“ProFTPD会默认安装mod_copy
模块,并且在大多数发行版系统(例如Debian)中默认启用”。此时,若攻击者向ProFTPD服务器发出CPFR
和CPTO
命令,则可能让未经授权的访问者直接复制FTP服务器上