一
漏洞详情
1、漏洞介绍
2020/7/18 Chinmay Pandya披露关于CVE-2020-15778的详细信息
研究人员Chinmay Pandya在openssh的scp组件中发现了一个命令注入漏洞
OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令
攻击者可利用该漏洞执行任意命令,目前绝大多数linux系统受影响
2、OpenSSHOpenSSH是SSH(Secure SHell)协议的免费开源实现
OpenSSH是个SSH的软件,linux/unix都用openssh软件提供SSH服务
3、scp命令
scp 是 secure copy 的缩写
在linux系统中,scp用于linux之间复制文件和目录,基于 ssh 登陆进行安全的远程文件拷贝命令
该命令由openssh的scp.c及其他相关代码实现
scp命令使用参考
#语法scp [-1246BCpqrv] [-c cipher] [-F ssh_config] [-i identity_file][-l limit] [-o ssh_option] [-P port] [-S program][[user@]host1:]file1 [...] [[user@]host2:]file2#简易写法scp [可选参数] file_source file_target #参数说明-1:强制scp命令使用协议ssh1-2:强制scp命令使用协议ssh2-4:强制scp命令只使用IPv4寻址-6:强制scp命令只使用IPv6寻址-B:使用批处理模式(传输过程中不询问传输口令或短语)-C:允许压缩。(将-C标志传递给ssh,从而打开压缩功能)-p:保留原文件的修改时间,访问时间和访问权限。-q:不显示传输进度条。-r:递归复制整个目录。-v