ProFTPd の mod_copy の脆弱性に注意（CVE-2019-12815）

ProFTPd の mod_copy に脆弱性が見つかっていたのでメモ。
vsftpd と比べると pam を使わなくても MySQL などと連携できたりとカスタマイズが楽なので使っている人も多いと思います。

mod_copy は SITE CPFR と SITE CPTO を実装しているようですが、このコマンドはサーバ上Yでファイルがコピーできるといいう機能のようですね。SITE なので、必要がなければ Off にしてしまってもいいのかもしれません。

100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を | マイナビニュース

ドイツのセキュリティ研究者であるTobias Madel氏が、mod_copyモジュールに脆弱性が存在しており、書き込み権限を持っていないユーザーが権限を超えた操作ができてしまうことを明らかにした。

† 参考

• 1 Million+ ProFTPD Servers Vulnerable To Remote Code Execution Attacks
• tbspace - ProFTPd CVE-2019-12815
• bug 4372 – SITE CPFR/CPTO do not honor configurations
• Bug #4372: Ensure that mod_copy checks for <Limits> for its SITE CPFR… by Castaglia · Pull Request #816 · proftpd/proftpd