Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад.
Проблема проявляется в том числе в последних актуальных выпусках ProFTPd 1.3.6 и 1.3.5d. Исправление доступно в виде патча. В качестве обходного пути защиты рекомендуется отключить mod_copy в конфигурации. Уязвимость пока устранена только в Fedora и остаётся неисправленной в Debian, SUSE/openSUSE, Ubuntu, FreeBSD, EPEL-7 (ProFTPD не поставляется в основном репозитории RHEL, а пакет из EPEL-6 не подвержен проблеме, так как не включает mod_copy).
Источник: http://www.opennet.ru/opennews/art.shtml?num=51158