Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
ProFTPD FTP Server
(1.3.5, 1.3.5e, 1.3.6rc1, 1.3.6rc5)
Описание
Уязвимость в ProFTPD связана с проверкой домашнего каталога пользователя на наличие символических ссылок через настройку параметра AllowChrootSymlinks. При использовании этого параметра проверяется только последний компонент пути, поэтому злоумышленники, имеющие локальный доступ, могут обойти защиту AllowChrootSymlinks, заменив компонент пути (любой, кроме последнего) на символическую ссылку. Для эксплуатации уязвимости атакующему не требуется полный доступ к файловой системе узла размещения сервиса, но требуется наличие возможности изменять домашний каталог пользователя FTP.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.proftpd.org/
http://www.proftpd.org/
Ссылки
Источник: CVE
Наименование: CVE-2017-7418
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7418
Наименование: CVE-2017-7418
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7418