原创: 业余草 业余草 今天
点击上方“业余草”,选择“置顶公众号”
第一时间获取技术干货和业界资讯!
? 免费资料帮下服务 | 免费领取资料 ?
在 Hacker News 上,最近被公布的一个 scp 命令漏洞上了头条。目前该漏洞可能影响着大部分的计算机,并且隐藏了 35 年才被发现!
最近有人在通过 Java 使用 JSch 库,发现执行 SCP 命令的系统中存在一些问题。
通常我们执行命令,可能的操作如下:
但是由于 scp 没有对这个路径进行转义或限制,那么我们也可以执行下面的命令:
这样一来,就会先执行 scp -f 命令,然后再执行 touch /tmp/foo 命令。
原本作者以为这是 JSch 库的漏洞,最后就给 JSch 提了漏洞报告。最终 JSch 反馈说这是 OpenSSH 的漏洞,OpenSSH 的 SCP 命令和 Rsync 也存在同样的问题。
OpenSSH 的维护人员反馈说:
由此可见,这又是一个规范问题。
针对这个 scp 的漏洞,建议大家使用 STFP 或者使用 rsync -s。
针对这个漏洞,有人整理了一个时间线!
目前,该漏洞已被修复,升级可以到这里下载补丁:https://github.com/openssh/openssh-portable/commit/6010c0303a422a9c5fa8860c061bf7105eb7f8b2。
免费领取Java,Python,大数据,人工智能资料,私信回复 教程
本文暂时没有评论,来添加一个吧(●'◡'●)