Тема: Сега пък излезе дупка в scp откъм клиентите (Прочетена 22019 пъти)

jet · « -: Jan 15, 2019, 17:56 »

Сега пък излезе дупка в scp откъм клиентите
https://www.theregister.co.uk/2019/01/15/scp_vulnerability/

С две думи е открита пробойна в scp протокола, че като сваляме файл от сървър - клиентите масово не проверяват дали точно сваляме това дето сме поискали. Сървъра ако поиска може да манипулира файлове откъм клиента дето нямат дори връзка с файла който се сваля (например манипулиране на ~/.bashrc за да сложи алиас с желана поредица от команди да изпълним без да искаме).
Уязвими са OpenSSH scp <=7.9, PuTTY PSCP, WinSCP in SCP mode.

Дебианци са пачнали в СИД ама не в Стреч.

Yasen6275 · « **Отговор #1 -:** Jan 16, 2019, 07:43 »

Дали това наистина е проблем?

Колко са случаите в които достъпа се извършва до сървър на който нямаш административни права? И колко са сървърите на които ти е по-важно да не те хакнат през scp от това да не ти хакнат сървъра?

Вероятно има разни случаи по разни корпорации които някой админ, преди да си тръгне, може да се опита да направи нещо, но реално никой разумен човек не ползва scp за копиране на данни от сървър над който няма административни права.

Yasen6275 · « **Отговор #2 -:** Jan 16, 2019, 09:28 »

Всъщност си имаме работа с поредната фалшива новина. Уязвими са само файловете в директорията в която копираш, както и правата на папката в която се копира. Неприятно и в много редки случаи можеби опасно, но е два ли е някаква трагедия.

4096bits · « **Отговор #3 -:** Jan 16, 2019, 11:02 »

Хм! Някой ползва ли изобщо scp? Дори не съм се сещал за това. ssh, rsync и готово.

Naka · « **Отговор #4 -:** Jan 16, 2019, 11:32 »

Аз редовно. Много е удобно защото има същият 'синтаксис'/начин на работа като cp само дето в пътя посочваш и отдалечения адрес
scp naka@example.com:/home/naka/file.txt .
или
scp localdoc.txt naka@example.com:/home/naka/

и т.н.

makeme · « **Отговор #5 -:** Jan 16, 2019, 13:39 »

Цитат на: 4096bits в Jan 16, 2019, 11:02

Хм! Някой ползва ли изобщо scp? Дори не съм се сещал за това. ssh, rsync и готово.

+1
Предполагам повечето Уиндоус потребители го ползват.

jet · « **Отговор #6 -:** Jan 16, 2019, 19:05 »

Цитат на: 4096bits в Jan 16, 2019, 11:02

Хм! Някой ползва ли изобщо scp? Дори не съм се сещал за това. ssh, rsync и готово.

Като намерят проблем в rsync сигурно ще кажеш, че ползваш scp

И двата инструмента си имат своето място.

А до това до колко сървъра имаш достъп без админ права - много ако работиш в голяма компания или сваляш от обществени сървъри. У дома имаш достъп до всичко.

4096bits · « **Отговор #7 -:** Jan 16, 2019, 19:48 »

Цитат на: jet в Jan 16, 2019, 19:05

Цитат на: 4096bits в Jan 16, 2019, 11:02
Хм! Някой ползва ли изобщо scp? Дори не съм се сещал за това. ssh, rsync и готово.
Като намерят проблем в rsync сигурно ще кажеш, че ползваш scp

Eдва ли!

Между другото, един начин да се избегнат повечето бъгове е да се пишат малки прогрмки, които правят едно нещо. Позната концепция и повечето команди в линукс са такива, но...
Не всякога е възможно.

Автор Тема: Сега пък излезе дупка в scp откъм клиентите (Прочетена 22019 пъти)

jet

Сега пък излезе дупка в scp откъм клиентите

Yasen6275

Re: Сега пък излезе дупка в scp откъм клиентите

Yasen6275

Re: Сега пък излезе дупка в scp откъм клиентите

4096bits

Re: Сега пък излезе дупка в scp откъм клиентите

Naka

Re: Сега пък излезе дупка в scp откъм клиентите

makeme

Re: Сега пък излезе дупка в scp откъм клиентите

jet

Re: Сега пък излезе дупка в scp откъм клиентите

4096bits

Re: Сега пък излезе дупка в scp откъм клиентите