ProFTPD任意读取和写入文件漏洞安全通告
发布时间 2019-07-23漏洞编号和级别
CVE编号:CVE-2019-12815,危险级别:严重,CVSS分值:官方未评定
影响版本
受影响的版本
ProFTPD 1.3.5b及之前版本
漏洞概述
ProFTPD是ProFTPD团队的一套安全云打印解决方案。该方案支持从笔记本电脑、台式机和移动设备连接打印机进行打印。
ProFTPD存在任意读取和写入文件漏洞。远程攻击者可利用该漏洞未经身份验证便可执行代码并泄露信息。
漏洞出现在mod_copy模块中,它是在ProFTPd的默认安装中提供的,并且在大多数发行版(例如Debian)中默认启用,因为mod_copy模块的自定义CPFR和CPTO命令不按预期进行配置,导致向ProFTPd服务器发出CPFR,CPTO命令允许没有写权限的用户复制FTP服务器上的任何文件。
根据Shodan的搜索结果,目前有超过一百万个未修补的ProFTPd服务器。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://bugs.proftpd.org/show_bug.cgi?id=4372。
缓解措施:
禁用ProFTPd配置文件中的mod_copy模块。
参考链接
京公网安备11010802024551号