這些漏洞可以結(jié)合起來利用,分別為 CVE-2018-20685�����、CVE-2019-6111�、CVE-2019-6109 與 CVE-2019-6110����。
近日����,安全研究人員公布了基于 SSH 的文件傳輸協(xié)議 SCP(Secure Copy Protocol)的多個漏洞,這些漏洞可以結(jié)合起來利用����,分別為
CVE-2018-20685、CVE-2019-6111�����、CVE-2019-6109 與 CVE-2019-6110�����。
據(jù)安全研究人員介紹����,這個漏洞從 1983 年起就已經(jīng)存在了�����,其中最主要的地方是 SCP 客戶端無法驗證 SCP
服務(wù)器返回的對象是否與請求的東西一致�����,而該問題可以追溯到 SCP 的基礎(chǔ)——RCP 協(xié)議(Remote file Copy
Protocol)�����,它允許服務(wù)器控制發(fā)送的文件����,那么結(jié)合客戶端無法驗證請求與實際返回的對象是否一致這一弱點��,攻擊者就可以采用中間人或直接操縱 SCP
服務(wù)器的方法����,覆寫客戶端用戶的 .bash_aliases 文件,一旦用戶啟用 Shell��,則執(zhí)行文件中的惡意代碼�。
目前,受影響的客戶端包括 OpenSSH
scp�����、PuTTY PSCP 與 WinSCP scp mode�。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無意。如您是字體廠商���、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材��,請聯(lián)系我們���,本站核實后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟賠償!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號