文件传输协议SCP被曝存在35年历史的安全漏洞

2019-01-18 14:31:10 来源:安防知识网
资讯频道文章B

[摘要] 这些漏洞可以结合起来利用,分别为 CVE-2018-20685、CVE-2019-6111、CVE-2019-6109 与 CVE-2019-6110。

  近日,安全研究人员公布了基于 SSH 的文件传输协议 SCP(Secure Copy Protocol)的多个漏洞,这些漏洞可以结合起来利用,分别为 CVE-2018-20685、CVE-2019-6111、CVE-2019-6109 与 CVE-2019-6110。

  据安全研究人员介绍,这个漏洞从 1983 年起就已经存在了,其中最主要的地方是 SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,而该问题可以追溯到 SCP 的基础——RCP 协议(Remote file Copy Protocol),它允许服务器控制发送的文件,那么结合客户端无法验证请求与实际返回的对象是否一致这一弱点,攻击者就可以采用中间人或直接操纵 SCP 服务器的方法,覆写客户端用户的 .bash_aliases 文件,一旦用户启用 Shell,则执行文件中的恶意代码。

      目前,受影响的客户端包括 OpenSSH scp、PuTTY PSCP 与 WinSCP scp mode。


0
[责任编辑:曾凌霄]

《安防知识网》一个服务号 二个订阅号 微信服务全面升级

不得转载声明: 凡文章来源标明“安防知识网”的文章著作权均为本站所有,禁止转载,除非取得了著作权人的书面同意且注明出处。违者本网保留追究相关法律责任的权利。

您可能需要

专栏推荐

阅读推荐

英飞拓拟1亿元设立投资发展全资子公司 2019-01-18 11:46  来源:安防知识网|0
依图与上海市公安局签署战略合作协议 2019-01-18 14:53  来源:安防知识网|0