文件传输漏洞服务器,知名文件传输协议SCP被曝存在35年历史的安全漏洞

最新推荐文章于 2024-06-15 09:43:16 发布
最新推荐文章于 2024-06-15 09:43:16 发布
阅读量279 收藏
点赞数
文章标签: 文件传输漏洞服务器

原标题:知名文件传输协议SCP被曝存在35年历史的安全漏洞

基于 SSH 的文件传输协议 SCP(Secure Copy Protocol)被曝存在安全漏洞。安全研究人员公布了 SCP 存在的多个漏洞,这些漏洞可以结合起来利用,分别为 CVE-2018-20685、CVE-2019-6111、CVE-2019-6109 与 CVE-2019-6110。

漏洞中最主要的地方是 SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,而该问题可以追溯到 SCP 的基础——RCP 协议(Remote file Copy Protocol),它允许服务器控制发送的文件,那么结合客户端无法验证请求与实际返回的对象是否一致这一弱点,攻击者就可以采用中间人或直接操纵 SCP 服务器的方法,覆写客户端用户的 .bash_aliases 文件,一旦用户启用 Shell,则执行文件中的恶意代码。

该问题从 1983 年起就已经存在了 35 年。受影响的客户端包括 OpenSSH scp、PuTTY PSCP 与 WinSCP scp mode。

8eceb16d1f549150c532162991714043.png

安全人员表示可以采取以下措施解决/缓解该问题:

把 OpenSSH 切换到 sftp 协议,不然就下载补丁强化 SCP

WinSCP 更新到 5.14 以上版本,目前问题已经解决。

PuTTY 现在还没有可选方案。

内容来源:cnbeta

知名文件传输协议SCP被曝存在35年历史的安全漏洞事件虽然让不少人质疑开源的安全性,但我们也知道,有这样一句话“没有绝对安全,但是有相对安全”。就是因为存在这些隐藏的威胁,我们才更应该积极部署信息安全防御工作,保护关键数据和应用。优炫软件聚焦数据安全和数据库,围绕数据资产为客户提供稳定、安全、行业领先的产品和解决方案,为客户提供更加优质安全、专业、可靠的信息安全保护服务。返回搜狐,查看更多

责任编辑:

weixin_39700397
关注
AUTOSAR汽车电子嵌入式编程精讲300篇-汽车CAN总线中的 信息安全与通信协议
getusushu的博客
03-12 497
CAN(Control Area Network) [40]是罗伯特博世有限公司于1980发明的一种 多主机的广播通信协议,传统的CAN总线通信速率可达到1Mbps,每一帧可以携 带8字节数据。
59.第十四章 加密和安全 -- OpenSSL(三)
Raymond的博客
01-31 336
2.OpenSSL 2.1 OpenSSL 介绍 官网:https://www.openssl.org/ OpenSSL计划在1998开始,其目标是发明一套自由的加密工具,在互联网上使用。OpenSSL以EricYoung以及Tim Hudson两人开发的SSLeay为基础,随着两人前往RSA公司任职,SSLeay在199812月停止开发。因此在199812月,社群另外分支出OpenSSL,继续开发下去 OpenSSL管理委员会当前由7人组成有13个开发人员具有提交权限(其中许多人也是OpenSSL管
linux scp命令_OpenSSH的scp命令注入漏洞复现(CVE-2020-15778)
weixin_39760857的博客
11-26 1247
该文章英文简单易懂,虽翻译之,大佬们轻喷前言OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令,不过前提是需要知道ssh的登录密码。OpenSSh是用于使用SSH(Secure SHell)协议进行加密远程登录的免费开源实现。它可以有效保护登录及数据的安全。SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令...
[应用漏洞]OpenSSH scp命令注入漏洞(CVE-2020-15778)
不忘初心,护天下安全!
08-03 1万+
一、漏洞简介 该漏洞发生于OpenSSH <= 8.3p1 系统,即使在禁用ssh登录的情况下,但是允许使用scp传文件,而且远程服务器允许使用反引号(`),可利用scp复制文件到远程服务器时,执行带有payload的scp命令,从而在后续利用中getshell。 利用条件:知道目标的ssh密码 二、漏洞原理 scp是 secure copy的缩写, scp是linux系统下基于ssh登陆进行安全的远程文件拷贝命令。linux的scp命令可以在linux服务器之间复制文件和目录。 scp格.
CVE-2020-15778(scp之操作系统命令注入漏洞)
m0_48785494的博客
07-28 979
CVE-2020-15778 Openssh-SCP 命令注入漏洞
发现安全漏洞CVE-2020-15778——深入OpenSSH的SCP命令注入风险
最新发布
gitblog_00068的博客
06-15 572
发现安全漏洞CVE-2020-15778——深入OpenSSH的SCP命令注入风险 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在网络安全的广阔领域中,发现并修复漏洞是维护数据与系统安全的关键一环。今天,我们将聚焦于一个曾引起广泛关注的安全事件——CVE-2020-15778。这是一起由安全研究者Chinmay Pandya揭示的关于OpenSSH 8.3p1中S...
scp命令注入漏洞复现(CVE-2020-15778)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 2488
概要 openSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令,不过前提是需要知道ssh的登录密码。 OpenSSh是用于使用SSH(Secure SHell)协议进行加密远程登录的免费开源实现。它可以有效保护登录及数据的安全。其中,SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令,可以在linux之间复制文件和目录。 【影响范围】:OpenSSH <= 8.3p1 漏洞攻击原理说明 当使用scp复制文件到远程服
区块链技术及其安全性:综述与应用
区块链:研究与应用3(2022)100067区块链技术及其安全性综述郭华群a,*,于兴杰b,1a新加坡A*STAR信息技术研究所b新加坡A R T I C L E I N F O关键词:区块链共识算法智能合约风险区块链安全A B S T R A C T区块链...
ssh远程登录协议和tcp wappers
wulei_123456789的博客
12-07 2969
ssh远程登录协议和tcp wappers 1.SSH服务 1.1 SSH基础 什么是SSH服务器? SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。 SSH客户端<--------------网络---------------->SSH服务端 优点: 数据传输是加密的,可以防止信
openssh-8.0p1.zip
07-13
OpenSSH 8.0 发布了,此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111,该漏洞此前我们之前报导过:知名文件传输协议 SCP存在 35 历史安全漏洞。 将文件从远程系统复制到本地目录时,SCP 客户端无法...
linux安全传输服务命令scp
leonnew的博客
09-27 306
scp命令用于在网络中安全的传输文件,格式为:“scp [参数] 本地文件 远程帐户@远程IP地址:远程目录”。 参数 作用 -v 显示详细的连接进度 -P 指定远程主机的sshd端口号 -r 传送文件夹时请加此参数 -6 使用ipv6协议 [root@linuxprobe ~]# echo "Welcome to LinuxProbe....
网络和安全
DLC990319的博客
05-08 196
一、安全的文件传输 1.wget:下载文件 wget 参数 URL地址 只需要给出文件的HTTP或FTP地址,即可通过wget直接在终端控制台下载文件。 继续之前终端的下载:在参数加上-c 2.scp:网间拷贝 scp可以通过网络,将文件从一台电脑拷贝到另一台电脑。 scp是基于SSH来运作的,SSH会在通过网络连接的电脑之间创建一条安全通信的管道,scp就利用这条管道安全地拷贝文件。 格式:sc...
OpenSSH 安全漏洞(CVE-2019-6111) 欺骗安全漏洞CVE-2019-6110)欺骗安全漏洞CVE-2019-6109)解决办法
热门推荐
weixin_43103905的博客
05-07 1万+
漏洞情况 如标题三个漏洞20191月26日发布,发现存在该问题的设备使用的是OpenSSH 7.9版本。 三个安全漏洞问题为scp相关问题,出现在openssh-client。 解决办法: 目前发现成功解决该问题的方式是在openssh官网中找到,官网于4月26日发布最新OpenSSH 8.0版本中提到: 原引:https://www.openssh.com/txt/release-8.0 T...
CentOS6——升级OpenSSH
qq_35321347的博客
11-05 541
计一次安全扫描后的,漏洞修补工作(升级)。 安全漏洞 OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2019-6111) OpenSSH 欺骗安全漏洞CVE-2019-6110) OpenSSH 欺骗安全漏洞CVE-2019-6109) OpenSSH 用户枚举漏洞(CVE-2018-15919) 解决方案: 升级OpenSSH到8.2版本 由于升级OpenSSH过程中涉及重启服务操作,为防止升级失败、...
漏洞修复相关链接汇总
艾欧尼亚归我了
05-23 1206
漏洞修复1:关于OPENSSH或SSH相关漏洞修复 1.1 OpenSSH 欺骗安全漏洞CVE-2019-6110) OpenSSH 欺骗安全漏洞CVE-2019-6109) SSH 服务支持弱加密算法 OpenSSH 用户枚举漏洞(CVE-2018-15473)【原理扫描】 OpenSSH 安全漏洞(CVE-2019-6111) OpenSSH CBC模式信息泄露漏洞(CVE-2008-...
Openssh漏洞升级修复(适用于CentOS 6.7和6.8和6.9以及7.2和7.4等)
newizan的专栏
07-17 1万+
通过主机扫描发现系统存在openssh漏洞,具体漏洞如下: OpenSSH sshd 安全漏洞(CVE-2015-8325) OpenSSH 拒绝服务漏洞(CVE-2016-0778) OpenSSH sshd 权限许可和访问控制漏洞(CVE-2015-5600) OpenSSH sshd 安全漏洞(CVE-2016-6515) OpenSSH 远程代码执行漏洞(CVE-2016-10009) ...
linux scp 隐藏文件,scp 客户端发现了隐藏 35 漏洞
weixin_30759991的博客
05-04 555
原标题:scp 客户端发现了隐藏 35 漏洞scp client multiple vulnerabilities===================================The latest version of this advisory is available at:https://sintonen.fi/advisories/scp-client-multiple-vul...
inotifypropertychanged接受不执行_scp客户端现多个漏洞,可执行恶意脚本
weixin_39707536的博客
11-24 140
0x00概述根据国外安全人员披露,基于ssh文件传输软件scp暴露了多个漏洞,影响windwos、Linux等多个平台的SCP客户端。可以通过恶意scp服务器,可以未经授权的更改目标目录和客户端输出操作,执行恶意脚本。0x01漏洞介绍现有的很多scp客户端无都不会校验scp服务器返回的对象是否与请求的对象匹配。问题可以追溯到1983,基于rcp软件开发scp的初始代码。客户端中的漏洞允许客户端可...
Cisco WebEx Meetings Windows 应用本地提权漏洞poc(CVE-2019-1674)
大哥一声吼
03-01 1143
A vulnerability in the update service of Cisco Webex Meetings Desktop App for Windows could allow a local attacker to elevate privileges. Cisco Webex Meetings Desktop App versions 33.6.4.15, 33.6.5.2,...
Linux服务器无密码SCP文件传输教程
SCP是一种基于SSH(Secure Shell,安全外壳)的安全文件传输工具,它利用SSH的安全性来保护数据在远程主机之间的传输,确保了数据传输过程中的保密性和完整性。 **SCP简介** SCP的核心原理是利用SSH作为传输通道,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值