首页 > 清静研究 > 清静转达 > 清静通告

ProFTPD恣意读取和写入文件误差清静通告

宣布时间 2019-07-23

误差编号和级别

CVE编号：CVE-2019-12815，，，，危险级别：严重，，，，CVSS分值：官方未评定

影响版本

受影响的版本

ProFTPD 1.3.5b及之前版本

误差概述

ProFTPD是ProFTPD团队的一套清静云打印解决计划。。该计划支持从条记本电脑、台式机和移动装备毗连打印机举行打印。。

ProFTPD保存恣意读取和写入文件误差。。远程攻击者可使用该误差未经身份验证便可执行代码并泄露信息。。

误差泛起在mod_copy�？？？橹校�，，，它是在ProFTPd的默认装置中提供的，，，，并且在大大都刊行版（例如Debian）中默认启用，，，，由于mod_copy�？？？榈淖越缢礐PFR和CPTO下令不按预期举行设置，，，，导致向ProFTPd效劳器发出CPFR，，，，CPTO下令允许没有写权限的用户复制FTP效劳器上的任何文件。。

凭证Shodan的搜索效果，，，，现在有凌驾一百万个未修补的ProFTPd效劳器。。

误差验证

暂无POC/EXP。。

修复建议

现在厂商已宣布升级补丁以修复误差，，，，补丁获取链接：http://bugs.proftpd.org/show_bug.cgi?id=4372。。

缓解步伐：

禁用ProFTPd设置文件中的mod_copy�？？？椤！�

参考链接

https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

ProFTPD恣意读取和写入文件误差清静通告

关于人生就是博

解决计划

联系人生就是博

7*24小时效劳热线