内容简介:基于 SSH 的文件传输协议 SCP(Secure Copy Protocol)被曝存在安全漏洞。安全研究人员公布了 SCP 存在的多个漏洞,这些漏洞可以结合起来利用,分别为 CVE-2018-20685、CVE-2019-6111、CVE-2019-6109 与 CVE-2019-6110。
基于 SSH 的文件传输协议 SCP(Secure Copy Protocol)被曝存在安全漏洞。
安全研究人员公布了 SCP 存在的多个漏洞,这些漏洞可以结合起来利用,分别为 CVE-2018-20685、CVE-2019-6111、CVE-2019-6109 与 CVE-2019-6110。
漏洞中最主要的地方是 SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,而该问题可以追溯到 SCP 的基础——RCP 协议(Remote file Copy Protocol),它允许服务器控制发送的文件,那么结合客户端无法验证请求与实际返回的对象是否一致这一弱点,攻击者就可以采用中间人或直接操纵 SCP 服务器的方法,覆写客户端用户的 .bash_aliases 文件,一旦用户启用 Shell,则执行文件中的恶意代码。
该问题从 1983 年起就已经存在了 35 年。受影响的客户端包括 OpenSSH scp、PuTTY PSCP 与 WinSCP scp mode。
OpenSSH scp <=7.9 PuTTY PSCP ? WinSCP scp mode <=5.13
安全人员表示可以采取以下措施解决/缓解该问题:
-
如果可以,就把 OpenSSH 切换到 sftp 协议,不然就下载补丁强化 SCP:https://sintonen.fi/advisories/scp-name-validator.patch
-
WinSCP 更新到 5.14 以上版本,目前问题已经解决。
-
PuTTY 现在还没有可选方案。
详情查看安全公告:https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- [浏览器安全漏洞一] dll劫持漏洞
- 【FreeBuf字幕组】Web安全漏洞系列:Electron框架漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
- 现如今连安全漏洞命名都用表情符了:思科路由器安全启动漏洞????????????(生气猫)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
面向对象分析与设计
Grady Booch、Robert A. Maksimchuk、Michael W. Engel、Bobbi J. Young、Jim Conallen、Kelli A. Houston / 王海鹏、潘加宇 / 人民邮电出版社 / 2009-8 / 79.00元
《面向对象分析与设计(第3版)》是UML创始人Grady Booch的代表作之一,书中介绍的概念都基于牢固的理论基础。同时,《面向对象分析与设计(第3版)》又是一本注重实效的书,面向架构师和软件开发者等软件工程实践者的实际需要。《面向对象分析与设计(第3版)》通过大量例子说明了基本概念,解释了方法,并展示了在不同领域的成功应用。全书分为理论和应用两部分。理论部分深刻剖析了面向对象分析与设计(OOA......一起来看看 《面向对象分析与设计》 这本书的介绍吧!
CSS 压缩/解压工具
在线压缩/解压 CSS 代码
JSON 在线解析
在线 JSON 格式化工具