近日,HSCERT监测发现超过一百万台ProFTPD服务器受到远程代码执行和信息泄露攻击的威胁,这些攻击可在成功利用任意文件拷贝漏洞后触发。
ProFTPd是一个开源和跨平台的FTP服务器,支持大多数类UNIX系统和Windows,是最受欢迎的FTP服务器之一。
所有ProFTPd版本(包括1.3.5b)都受到此漏洞的影响,该漏洞使远程攻击者无需在进行身份验证和得到ProFTPD服务的用户权限即可执行任意代码。
该漏洞源于mod_copy模块中的自定义SITE CPFR和SITE CPTO操作,mod_copy在ProFTPd的默认安装中提供,默认情况下在大多数发行版中启用,发送CPFR,CPTO命令到ProFTPd服务器允许没有写权限的用户可以拷贝FTP服务器上的任何文件。
漏洞出现是因为mod_copy模块的自定义SITE CPFR和SITE CPTO命令没有按预期进行配置
高危
ProFTPd <= 1.3.5b
ProFTPd已经在新发布的1.3.6版本中修复了上述漏洞,建议受影响的用户尽快升级。
临时缓解方案可以将mod_copy模块禁用来进行防护。
ProFTPd 1.3.6版本下载地址:
https://github.com/ProFTPd/ProFTPd/releases
https://www.cert-bund.de/advisoryshort/CB-K19-0642
https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12815
http://tbspace.de/cve201912815proftpd.html
如需帮助请咨询 [email protected]