ProFTPD远程命令执行漏洞或影响100多万台服务器

ProFTPD开源FTP服务软件被曝出任意文件复制漏洞(CVE-2019-12815),允许攻击者无需认证执行任意命令。此漏洞影响1.3.5b及以下版本,1.3.6版本已修复。超100万台服务器受影响,仅少数升级至安全版本。CERT-Bund发布安全警告,提醒用户关注。
摘要由CSDN通过智能技术生成

在这里插入图片描述

ProFTPD是一个开源,跨平台的FTP服务软件,支持大多数类Unix系统和Windows,是Unix平台下最流行的FTP服务软件之一,且同时支持Pure-FTPD和vsftpd。

而最近,ProFTPD被曝出任意文件复制漏洞,可导致超过一百万多台安装了ProFTPD的服务器受到远程命令执行和信息泄漏攻击。

所有版本在1.3.5b及其以下的ProFTPD软件都会受到该漏洞影响,攻击者只要成功利用该漏洞,就能在无需进行身份验证的情况下,以ProFTPD服务的权限执行任意命令。

ProFTPD 1.3.6版本已修复

该漏洞是由Tobias M?del发现的,被标记为CVE-2019-12815,漏洞根源在于mod_copy模块。发现者是在去年9月28日向ProFTPD安全团队报告的,漏洞修补后的ProFTPD 1.3.6版本已于7月17日对外发布。

根据M?del的描述:“ProFTPD会默认安装mod_copy模块,并且在大多数发行版系统(例如Debian)中默认启用”。此时,若攻击者向ProFTPD服务器发出CPFRCPTO命令,则可能让未经授权的访问者直接复制FTP服务器上

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值