アルム=バンド 脆弱性概要
- バージョン: ProFTPd 1.3.4以上、1.3.5(1.3.5rc4以下)
- 概要:
mod_copyモジュールの脆弱性に起因 - 予想される被害:
- サイトコンテンツの改ざん
- 本来取得できないはずのファイルの取得
- DoS
- 対応:
- セキュリティパッチが配布されていればそれを適用
- 上述
mod_copyモジュールを無効にする
調査
サーバでバージョンを確認# proftpd --version$ telnet XXX.XXX.XXX.XXX 21
220 FTP Server ready.
site cpfr /etc/passwd
500 'SITE CPFR' not understood
site cpto /tmp/test.txt
500 'SITE CPTO' not understood
quit
221 Goodbye.mod_copyという同じモジュールの脆弱性)する2015年の脆弱性(CVE-2015-3306)のFTPコマンドを叩いてみます。
上述の場合、脆弱性(CVE-2015-3306)がある場合の反応ではありません。
また、上述の2015年の関連脆弱性の記事に拠ると、RedHat系(CentOS含む)ではmod_copyモジュールはデフォルトではインストールされていないとのこと。
ということで、これらのOSに関してはなのかもしれませんが、これも今回の情報が見当たらないので実際のところは分かりません。
うーん、この辺りの検索の仕方とアンテナの張り方も考えないといけないですかね……と改めて感じました。
参考
- 100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を | マイナビニュース
- tbspace – ProFTPd CVE-2019-12815
- NVD – CVE-2019-12815
- JVNDB-2019-006664 – JVN iPedia – 脆弱性対策情報データベース
- 100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を – 記事詳細|Infoseekニュース
- 2015年の関連する脆弱性: ProFTPD において mod_copy モジュールの認証不備によりファイルをコピーされてしまう脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
- 2015年の関連する脆弱性: CVE-2015-3306 – 脆弱性調査レポート | ソフトバンク・テクノロジー (SBT) ※脆弱性の有無を判定するコマンドはここのものを実行
- 2015年の関連する脆弱性: ProFTPd CVE-2015-3306 mod_copy脆弱性のメモ – watarin’s memo CentOSには該当モジュールがインストールされていないという情報の情報源