文章转载自深信服安全团队
概述
2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
漏洞名称:OpenSSH 命令注入漏洞(CVE-2020-15778)
威胁等级:高危
影响范围:OpenSSH <=8.3p1
漏洞类型:代码执行
利用难度:简单
漏洞分析
OpenSSH介绍
OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。
漏洞描述
研究人员Chinmay Pandya在