溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下scp命令中有什么漏洞,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
在 Hacker News 上,最近被公布的一個 scp 命令漏洞上了頭條。目前該漏洞可能影響著大部分的計算機,并且隱藏了 35 年才被發現!
最近有人在通過 Java 使用 JSch 庫,發現執行 SCP 命令的系統中存在一些問題。
通常我們執行命令,可能的操作如下:
但是由于 scp 沒有對這個路徑進行轉義或限制,那么我們也可以執行下面的命令:
這樣一來,就會先執行 scp -f 命令,然后再執行 touch /tmp/foo 命令。
原本作者以為這是 JSch 庫的漏洞,最后就給 JSch 提了漏洞報告。最終 JSch 反饋說這是 OpenSSH 的漏洞,OpenSSH 的 SCP 命令和 Rsync 也存在同樣的問題。
OpenSSH 的維護人員反饋說:
由此可見,這又是一個規范問題。
針對這個 scp 的漏洞,建議大家使用 STFP 或者使用 rsync -s。
針對這個漏洞,有人整理了一個時間線!
目前,該漏洞已被修復,升級可以到這里下載補丁:https://github.com/openssh/openssh-portable/commit/6010c0303a422a9c5fa8860c061bf7105eb7f8b2。
以上是“scp命令中有什么漏洞”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
