scp 命令中发现了一个隐藏了 35 年的漏洞

在 Hacker News 上，最近被公布的一个 scp 命令漏洞上了头条。目前该漏洞可能影响着大部分的计算机，并且隐藏了 35 年才被发现！

最近有人在通过 Java 使用 JSch 库，发现执行 SCP 命令的系统中存在一些问题。

 // exec 'scp -f rfile' remotely
String command = "scp -f " + from;
Channel channel = session.openChannel("exec");
((ChannelExec) channel).setCommand(command);
// get I/O streams for remote scp
OutputStream out = channel.getOutputStream();
InputStream in = channel.getInputStream();
channel.connect();

通常我们执行命令，可能的操作如下：

scp -f /xttblog/user/provided/path

但是由于 scp 没有对这个路径进行转义或限制，那么我们也可以执行下面的命令：

# path = '/; touch /tmp/foo'
scp -f /; touch /tmp/foo

这样一来，就会先执行 scp -f 命令，然后再执行 touch /tmp/foo 命令。

原本作者以为这是 JSch 库的漏洞，最后就给 JSch 提了漏洞报告。最终 JSch 反馈说这是 OpenSSH 的漏洞，OpenSSH 的 SCP 命令和 Rsync 也存在同样的问题。

OpenSSH 的维护人员反馈说：

由此可见，这又是一个规范问题。

针对这个 scp 的漏洞，建议大家使用 STFP 或者使用 rsync -s。

针对这个漏洞，有人整理了一个时间线！

目前，该漏洞已被修复，升级可以到这里下载补丁：https://github.com/openssh/openssh-portable/commit/6010c0303a422a9c5fa8860c061bf7105eb7f8b2。

参考资料

• http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-347
• https://github.com/openssh/openssh-portable/commit/6010c0303a422a9c5fa8860c061bf7105eb7f8b2
• https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

： » scp 命令中发现了一个隐藏了 35 年的漏洞