В ftp-сервере ProFTPD найдены уязвимости, которые позволяют удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе, сообщает CNews.ru.
Уязвимость форматной строки обнаружена при отображении сообщения об отключении, содержащего имя текущей директории
Злоумышленник может создать специально сформированное имя каталога и вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Для удачной эксплуатации имя директории должно содержать переменные: %C, %R или %U.
Уязвимость форматной строки обнаружена в модуле mod_sql при получении информации из базы данных. Злоумышленник может создать специально сформированные insert-запросы к БД и вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.
Уязвима программа ProFTPD версий до 1.3.0rc2. “Дыре” присвоен рейтинг опасности “средняя”. Для решения проблемы установите исправление с сайта производителя.