Nově objevená chyba v populárním FTP serveru ProFTPD dovoluje za určitých okolností komukoliv na server nahrát libovolný soubor i bez dostatečných oprávnění. Pokud je pak možné na serveru nechat kód v souboru provést, může dojít až ke kompromitaci serveru.
Chyba nese označení CVE-2019–12815 a nachází se v modulu mod_copy
, který je v mnoha instalacích (třeba v Debianu) ve výchozím stavu zapnutý. Příkazy SITE CPFR a SITE CPTO nesprávně kontrolují práva uživatele a i uživatel přihlášený jako anonymní tak může na server nechat nahrát libovolný soubor.
To samo o sobě může být v některých případech problematické, protože tak mohou být přepisovány soubory legitimních uživatelů. Ještě větší problém ale nastává, pokud je zapisovaný adresář zároveň přístupný z web serveru a ten je ochoten v něm provádět například kód v jazyce PHP. Útočník pak může na server nahrát a spustit libovolný vlastní kód.
Chyba se nachází i v aktuální verzi ProFTPD s označením 1.3.6. Existuje patch, který problém řeší, ale zatím nevyšla žádná nová verze software, která by jej obsahovala. Správci mohou dočasně vypnout mod_copy
, počkat na opravu ve své distribuci nebo záplatu aplikovat sami.