জাকুব জেলেন (একটি রেড হ্যাট সুরক্ষা প্রকৌশলী) প্রস্তাবিত এসসিপি প্রোটোকলকে অপ্রচলিত হিসাবে শ্রেণিবদ্ধ করা হবে পরবর্তীতে এর নির্মূলকরণে এগিয়ে যেতে। যেমন এসসিপি ধারণাটিগতভাবে আরসিপির নিকটবর্তী এবং আর্কিটেকচারাল সমস্যায় উত্তরাধিকার সূত্রে প্রাপ্ত মৌলিক যেগুলি সম্ভাব্য দুর্বলতার উত্স।
বিশেষত, এসসিপি এবং আরসিপিতে, সার্ভারটি কোন ফাইল এবং ডিরেক্টরিগুলি ক্লায়েন্টকে প্রেরণ করবে সে সম্পর্কে সিদ্ধান্ত গ্রহণ করে এবং ক্লায়েন্ট সার্ভারের নির্দেশাবলী অনুসরণ করে এবং কেবল প্রত্যাবর্তিত বস্তুর নামের যথার্থতা পরীক্ষা করে।
আক্রমণকারী দ্বারা নিয়ন্ত্রিত সার্ভারের সাথে সংযোগ স্থাপনের মাধ্যমে সার্ভার অন্যান্য ফাইল সরবরাহ করতে পারে, যা বারবার দুর্বলতা সনাক্তকরণের দিকে পরিচালিত করে।
উদাহরণস্বরূপ, সাম্প্রতিক অবধি, ক্লায়েন্ট কেবলমাত্র বর্তমান ডিরেক্টরিটি পরীক্ষা করেছেন, তবে সার্ভারটি আলাদা নামের সাথে একটি ফাইল জারি করতে পারে এবং অনুরোধ করা হয়নি এমন ফাইলগুলিকে ওভাররাইট করতে পারে তা বিবেচনা করে নি (উদাহরণস্বরূপ, "test.txt" এর পরিবর্তে) অনুরোধ করা হয়েছে, সার্ভারটি b। bashrc called নামে একটি ফাইল পাঠাতে পারে এবং এটি ক্লায়েন্ট দ্বারা লেখা হবে)।
জাকুব জেলেন প্রকাশিত পোস্টে আপনি নিম্নলিখিতটি পড়তে পারেন:
হ্যালো ফেডোরা ব্যবহারকারীরা! সাম্প্রতিক বছরগুলিতে, এসসিপি প্রোটোকলটিতে বেশ কয়েকটি সমস্যা রয়েছে, যা প্রাথমিক পর্যায়ে আমরা এ থেকে মুক্তি পেতে পারি কিনা তা নিয়ে আমাদের আলোচনার দিকে নিয়ে যায়।
বেশিরভাগ ভয়েস বলেছে যে তারা এসসিপি ব্যবহার করে মূলত সাধারণ অ্যাডহক কপিগুলির জন্য এবং কারণ এসএফটিপি ইউটিলিটি একটি বা দুটি ফাইল পিছনে পিছনে অনুলিপি করার জন্য একটি সহজ ইন্টারফেস সরবরাহ করে না এবং কারণ লোকেরা কেবল এসএফপি-র পরিবর্তে স্কিপ লিখতে ব্যবহৃত হয়।
এসসিপি প্রোটোকলের আর একটি সমস্যা হ'ল আর্গুমেন্ট প্রসেসিং বৈশিষ্ট্য.
যেহেতু এটি উল্লেখ করা হয়েছে বাহ্যিক সার্ভারে ফাইল অনুলিপি করার সময় scp কমান্ডের শেষে ফাইল পাথ যুক্ত হয় স্থানীয়, উদাহরণস্বরূপ, আপনি যখন সার্ভারে «scp / উত্সফিল রিমোটসারভার: 'টাচ / tmp / exploit.sh` / টার্গেট ফাইল' run কমান্ডটি চালাবেন,» টাচ / tmp / exploit.sh command কমান্ডটি ছিল এবং ফাইল / tmp ছিল /exploit.sh তৈরি করেছে, সুতরাং scp- এ সঠিক পাল্টানো অক্ষর ব্যবহার করা গুরুত্বপূর্ণ।
যখন scp ফাইল নামগুলিতে 'character' অক্ষর স্বীকার করে এমন ফাইল সিস্টেমে ডিরেক্টরি বিষয়বস্তু ("-r" বিকল্প) পুনরাবৃত্তভাবে পাস করার জন্য ব্যবহার করা হয়, তখন একজন আক্রমণকারী অ্যাডোস্ট্রোফের সাহায্যে একটি ফাইল তৈরি করতে এবং কোডটি চালানোর জন্য তৈরি করতে পারে।
ওপেনএসএইচএਚ এই সমস্যাটি এখনও অপ্রকাশিত রয়েছে, যেহেতু পশ্চাদপদ সামঞ্জস্যতা না ভেঙে এটি ঠিক করা অসুবিধাজনক, উদাহরণস্বরূপ কমান্ডগুলি ডিরেক্টরিটি অনুলিপি করার আগে কোনও ডিরেক্টরি উপস্থিত রয়েছে কিনা তা পরীক্ষা করে দেখুন।
পূর্ববর্তী আলোচনায় দেখা গেছে যে scp সাধারণত একটি সিস্টেম থেকে অন্য সিস্টেমে ফাইল অনুলিপি করতে ব্যবহৃত হয়।
যাইহোক, সহজ ইন্টারফেসের কারণে অনেকে Sftp এর পরিবর্তে scp ব্যবহার করেন এবং ফাইলগুলি অনুলিপি করা স্পষ্ট, বা অভ্যাসের বাইরে। জাকুব এসপিপি ইউটিলিটির ডিফল্ট প্রয়োগকরণ, এসএফটিপি প্রোটোকল ব্যবহারে রূপান্তরিত (কিছু বিশেষ ক্ষেত্রে ইউটিলিটি এসসিপি প্রোটোকলটিতে ফিরে আসার জন্য "-M স্ক্যাপ" বিকল্প সরবরাহ করে), বা এসএফটিপি ইউটিলিটিতে একটি সামঞ্জস্যতা মোড যুক্ত করার পরামর্শ দেয় যা আপনাকে স্কেপটির স্বচ্ছ প্রতিস্থাপন হিসাবে এসফটিপি ব্যবহার করতে দেয়।
কিছু মাস আগে আমি এসপিটিপি অভ্যন্তরীণভাবে ব্যবহারের জন্য স্কিপ-এর জন্য একটি প্যাচ লিখেছিলাম (এম-স্কেপ ব্যবহার করে এটি আবার পরিবর্তন করার সম্ভাবনা সহ) এবং কিছু পরীক্ষায় এটি সফলভাবে চালিয়েছি।
সামগ্রিক উজানের প্রতিক্রিয়াও বেশ ইতিবাচক ছিল, তাই আমি আমাদের ব্যবহারকারীদের কাছ থেকেও শুনতে চাই। এটির এখনও কিছু সীমাবদ্ধতা রয়েছে (সমর্থনটি অনুপস্থিত, সার্ভার sftp সাবসিস্টেমটি চালায় না তবে এটি কাজ করবে না…), তবে সর্বাধিক সাধারণ ব্যবহারের ক্ষেত্রে এটি যথেষ্ট ভাল হওয়া উচিত।
সীমাবদ্ধতা মধ্যে প্রস্তাবিত পদ্ধতির, সার্ভারগুলির সাথে ডেটা এক্সচেঞ্জের অসম্ভবতা যা sftp সাবসিস্টেমটি শুরু করে না mentioned এবং স্থানীয় হোস্ট ("-3" মোড) মাধ্যমে ট্রানজিট সহ দুটি বাহ্যিক হোস্টের মধ্যে স্থানান্তর মোডের অভাব। কিছু ব্যবহারকারী এটিও খেয়াল করে যে এসএফটিপি ব্যান্ডউইথের দিক থেকে এসসিপির থেকে কিছুটা পিছনে রয়েছে, যা উচ্চ মাত্রায় ক্ষীণ সংযোগের জন্য আরও লক্ষণীয় হয়ে ওঠে।
পরীক্ষার জন্য, একটি বিকল্প ওপেনশ প্যাকেজটি ইতিমধ্যে কোপার সংগ্রহস্থলে স্থাপন করা হয়েছে, এটি এসএফটিপি প্রোটোকলের উপর স্ক্যাপ ইউটিলিটি প্রয়োগের সাথে প্যাচ করে।
উৎস: https://lists.fedoraproject.org/