जकुब जेलेन (एक Red Hat सुरक्षा इंजीनियर) सुझाव दिया गया कि एससीपी प्रोटोकॉल को अप्रचलित के रूप में वर्गीकृत किया जाना चाहिए बाद में इसके उन्मूलन के लिए आगे बढ़ें। जैसा एससीपी अवधारणात्मक रूप से आरसीपी के करीब है और वास्तु संबंधी समस्याओं को विरासत में मिला है बुनियादी बातें जो संभावित कमजोरियों का स्रोत हैं।
विशेष रूप से, एससीपी और आरसीपी में, सर्वर के बारे में निर्णय को स्वीकार करता है कि कौन सी फाइलें और निर्देशिकाएं क्लाइंट को भेजनी हैं, और क्लाइंट सर्वर के निर्देशों का पालन करता है और केवल लौटे हुए ऑब्जेक्ट नामों की शुद्धता की जांच करता है।
एक हमलावर द्वारा नियंत्रित सर्वर से कनेक्ट करके, सर्वर अन्य फ़ाइलों को वितरित कर सकता है, जो बार-बार कमजोरियों की पहचान का कारण बना।
उदाहरण के लिए, हाल ही में, क्लाइंट ने केवल वर्तमान निर्देशिका की जांच की, लेकिन इस बात पर ध्यान नहीं दिया कि सर्वर एक अलग नाम के साथ एक फ़ाइल जारी कर सकता है और उन फ़ाइलों को अधिलेखित कर सकता है जिन्हें अनुरोध नहीं किया गया था (उदाहरण के लिए, "test.txt" के बजाय अनुरोध किया गया है, सर्वर एक फ़ाइल भेज सकता है, जिसका नाम है »। बैशकेन« और यह क्लाइंट द्वारा लिखा जाएगा)।
Jakub Jelen द्वारा प्रकाशित पोस्ट में, आप निम्नलिखित पढ़ सकते हैं:
हैलो फेडोरा उपयोगकर्ताओं! हाल के वर्षों में, एससीपी प्रोटोकॉल में कई मुद्दे सामने आए हैं, जिससे हम चर्चा में हैं कि क्या हम शुरुआती चरणों में इससे छुटकारा पा सकते हैं।
अधिकांश आवाज़ों में कहा गया था कि वे मुख्य रूप से सरल तदर्थ प्रतियों के लिए एससीपी का उपयोग करते हैं और क्योंकि sftp उपयोगिता एक या दो फ़ाइलों को आगे और पीछे कॉपी करने के लिए एक सरल इंटरफ़ेस प्रदान नहीं करती है, क्योंकि लोग केवल sftp के बजाय scp लिखने के लिए उपयोग किए जाते हैं।
SCP प्रोटोकॉल के साथ एक अन्य समस्या तर्क प्रसंस्करण सुविधा है.
चूंकि यह उल्लेख है कि जब बाह्य सर्वर पर फ़ाइलों की प्रतिलिपि बनाते हुए फ़ाइल पथ को scp कमांड के अंत में जोड़ा जाता है स्थानीय, उदाहरण के लिए, जब आप कमांड चलाते हैं «scp / sourcefile remoteserver: 'टच / tmp / शोषित.sh` / targetfile'» सर्वर पर, कमांड »टच / tmp / शोषण। s» और फ़ाइल / tmp था बनाया /exploit.sh, इसलिए यह आवश्यक है कि scp में सही एस्केप वर्णों का उपयोग किया जाए।
जब फ़ाइल सिस्टम में निर्देशिका सामग्री ("-r" विकल्प) को पुन: पास करने के लिए scp का उपयोग किया जाता है जो फ़ाइल नामों में '`' वर्ण को स्वीकार करते हैं, तो एक हमलावर apostrophes के साथ एक फ़ाइल बना सकता है और इसे चलाने के लिए कोड बना सकता है।
ओपनएसएसएच में यह समस्या ठीक नहीं रहती है, क्योंकि यह पश्चगामी संगतता को तोड़ने के बिना इसे ठीक करने के लिए परेशानी है, उदाहरण के लिए कमांड की जांच करने के लिए कि क्या कोई निर्देशिका इसे कॉपी करने से पहले मौजूद है।
पिछली चर्चाओं से पता चला है कि आमतौर पर एक सिस्टम से दूसरे सिस्टम में फाइल कॉपी करने के लिए scp का इस्तेमाल किया जाता है।
हालांकि, बहुत से लोग सरल इंटरफ़ेस के कारण sftp के बजाय scp का उपयोग करते हैं और फ़ाइलों की नकल करने के लिए स्पष्ट, या बस आदत से बाहर। जकब एसएफटीपी प्रोटोकॉल का उपयोग करने के लिए परिवर्तित एससीपीटी प्रोटोकॉल के डिफ़ॉल्ट कार्यान्वयन का उपयोग करने का सुझाव देता है (कुछ विशेष मामलों के लिए, उपयोगिता एससीपी प्रोटोकॉल को वापस करने के लिए "-M एसपीपी" विकल्प प्रदान करता है), या एसएफटी उपयोगिता के लिए एक अनुकूलता मोड जोड़ रहा है। जो आपको scp के लिए एक पारदर्शी प्रतिस्थापन के रूप में sftp का उपयोग करने की अनुमति देता है।
कुछ महीने पहले, मैंने एसएफटीपी का आंतरिक रूप से उपयोग करने के लिए scp के लिए एक पैच लिखा था (-M scp का उपयोग करके इसे वापस बदलने की संभावना के साथ) और कुछ परीक्षणों में इसे सफलतापूर्वक चलाया।
समग्र अपस्ट्रीम प्रतिक्रिया भी काफी सकारात्मक थी, इसलिए मैं अपने उपयोगकर्ताओं से भी सुनना चाहूंगा। इसकी अभी भी कुछ सीमाएँ हैं (समर्थन गायब है, यह काम नहीं करेगा यदि सर्वर sftp सबसिस्टम,…) को नहीं चलाता है, लेकिन यह सबसे आम उपयोग के मामलों के लिए पर्याप्त होना चाहिए।
सीमाओं के बीच प्रस्तावित दृष्टिकोण, Sftp सबसिस्टम शुरू नहीं करने वाले सर्वर के साथ डेटा के आदान-प्रदान की असंभवता का उल्लेख किया गया है, और स्थानीय मेजबान ("-3" मोड) के माध्यम से पारगमन के साथ दो बाहरी मेजबानों के बीच एक स्थानांतरण मोड की अनुपस्थिति। कुछ उपयोगकर्ता यह भी नोट करते हैं कि एसएफटीपी बैंडविड्थ के मामले में एससीपी से थोड़ा पीछे है, जो उच्च विलंबता के साथ खराब कनेक्शन पर अधिक ध्यान देने योग्य हो जाता है।
परीक्षण के लिए, एक वैकल्पिक ओपनशप पैकेज पहले से ही कोपर रिपॉजिटरी में रखा गया है, इसे एसएफटीपी प्रोटोकॉल पर एसपीपी उपयोगिता के कार्यान्वयन के साथ पैच किया गया है।
Fuente: https://lists.fedoraproject.org/