T

obias Mädel 18 lipca opublikował szczegóły luki w kontroli dostępu w jednym z modułów serwera ProFTPD – popularnego daemona FTP o otwartym kodzie źródłowym dla systemów operacyjnych *nix. Luka o numerze CVE-2019-12815 za pomocą modułu mod_copy pozwala na wgranie dowolnego pliku na serwer. Jest to spowodowane faktem, że moduł ten nie przestrzega opcji konfiguracyjnych "<Limit READ>" oraz "<Limit WRITE>" z pliku proftpd.conf.

Pozwala to atakującemu na wgranie lub zgranie dowolnego pliku bez konieczności posiadania odpowiednich praw zapisu lub odczytu za pomocą poleceń SITE CPFR oraz SITE CPTO. Jest to możliwe, gdy spełnione są następujące warunki:

– konfiguracja zezwala na logowanie się anonimowym użytkownikiem,
– atakujący jest w stanie zalogować się na działające konto FTP.

Pierwszy warunek jest ważny, ponieważ może pozwolić dowolnej osobie na zdalne przesłanie szkodliwych plików na podatny serwer i wykonanie ich z innego poziomu np. wgranie pliku PHP oraz jego uruchomienie z poziomu serwera HTTPd. Instalując serwer z oficjalnego repozytorium za pomocą poleceń apt (Ubuntu) lub yum (CentOS) dostęp dla anonimowego użytkownika jest domyślnie wyłączony. Sprawa ma się odwrotnie jeśli instalacja została przeprowadzona przy pomocy kompilacji kodu źródłowego.

Błąd dotyczy ProFTPD począwszy od wersji 1.3.4 (2010 r.). To właśnie od tej wersji moduł mod_copy został włączony jako część domyślnej instalacji ProFTPD. Podatność została zgłoszona zespołowi ProFTPD 28 września 2018 roku – następnie 12 czerwca 2019 roku zespołowi ds. bezpieczeństwa systemu Debian. W końcu Mädel wyznaczył termin do 28 lipca 2019 roku na publiczne ujawnienie luki. 17 lipca 2019 roku ProFTPD opublikował poprawkę – trafiła ona również do brancha wersji 1.3.6. Dopóki łatka nie zostanie wydana i będzie dostępna w oficjalnych dystrybucjach – administratorzy powinni wyłączyć moduł mod_copy jako tymczasowe obejście. Podobna luka w module mod_copy została ujawniona w 2015 roku.

Więcej informacji: ProFTPd CVE-2019-12815