Jakub jelen (yon enjenyè sekirite Red Hat) sigjere ke pwotokòl la SCP dwe klase kòm demode pita kontinye nan eliminasyon li yo. Kòm SCP se konseptyèlman fèmen nan RCP ak eritye pwoblèm achitekti fondamantal ki se sous frajilite potansyèl yo.
An patikilye, nan SCP ak RCP, sèvè a aksepte desizyon an sou ki dosye ak repèrtwar pou voye bay kliyan an, epi kliyan an swiv enstriksyon sèvè a epi sèlman tcheke kòrèkte non objè retounen yo.
Pa konekte nan yon sèvè kontwole pa yon atakè, sèvè a ka delivre lòt dosye, ki te repete mennen nan idantifikasyon nan frajilite yo.
Pou egzanp, jiska dènyèman, kliyan an sèlman tcheke anyè aktyèl la, men pa t 'pran an kont ke sèvè a te kapab bay yon dosye ak yon non diferan ak recouvrir dosye ki pa te mande (pou egzanp, olye pou yo "test.txt la" mande, sèvè a ka voye yon dosye ki rele ». bashrc« epi li pral ekri pa kliyan an).
Nan pòs la, ki te pibliye pa Jakub Jelen, ou ka li bagay sa yo:
Bonjou itilizatè Fedora! Nan dènye ane yo, te gen plizyè pwoblèm nan pwotokòl la SCP, ki mennen nou nan diskisyon si wi ou non nou ka debarase m de li nan premye faz yo.
Pifò nan vwa yo te di ke yo itilize SCP sitou pou senp kopi ad-hoc epi paske sèvis piblik la sftp pa bay yon koòdone senp yo kopye youn oubyen de dosye retounen ak lide ak paske moun yo te itilize sèlman yo ekri scp olye pou yo sftp.
Yon lòt pwoblèm ak pwotokòl la SCP se karakteristik nan pwosesis agiman.
Depi li mansyone ke lè kopye dosye nan sèvè ekstèn se chemen an dosye ajoute nan fen kòmandman an SCP lokal, pou egzanp, lè ou kouri lòd la «scp / sourcefile remoteserver: 'manyen / tmp / exploit.sh` / targetfile'» sou sèvè a, lòd la »manyen / tmp / exploit.sh» ak dosye a / tmp te kreye /exploit.sh, kidonk li enpòtan pou itilize karaktè chape kòrèk nan SCP.
Lè scp yo itilize rekursivman pase sa ki nan repèrtwar (opsyon nan "-r") nan sistèm dosye ki aksepte karaktè a '' 'nan non dosye, yon atakè ka kreye yon dosye ak apòt epi fè li kòd la kouri.
Nan OpenSSH pwoblèm sa a rete san korije, kòm li se anbarasman ranje li san yo pa kraze bak konpatibilite, egzanp kouri kòmandman yo tcheke si yon anyè egziste anvan kopye li.
Diskisyon anvan yo te montre ke SCP se jeneralman itilize kopye dosye soti nan yon sistèm nan yon lòt.
Sepandan, anpil moun sèvi ak scp olye pou yo sftp akòz koòdone ki pi senp ak evidan kopye dosye, oswa jis soti nan abitid. Jakub sijere lè l sèvi avèk aplikasyon an default nan sèvis piblik la scp, konvèti yo sèvi ak pwotokòl la SFTP (pou kèk ka espesyal, sèvis piblik la bay opsyon nan "-M scp" retounen nan pwotokòl la SCP), oswa ajoute yon mòd konpatibilite nan sèvis piblik la sftp ki pèmèt ou itilize sftp nan kòm yon ranplasman transparan pou scp.
Kèk mwa de sa mwen te ekri yon plak pou SCP yo sèvi ak SFTP intern (ak posibilite pou chanje li tounen lè l sèvi avèk -M SCP) ak kouri li avèk siksè nan kèk tès yo.
Fidbak an jeneral en te tou byen pozitif, Se konsa, mwen ta renmen tande pale de itilizatè nou yo tou. Li toujou gen kèk limit (sipò ki manke, li pa pral travay si sèvè a pa kouri subsystem la sftp, ...), men li ta dwe bon ase pou ka yo itilize pi komen.
Ant limit yo nan apwòch yo pwopoze a, li enposib nan echanj done ak serveurs ki pa kòmanse subsistèm nan sftp mansyone, ak absans la nan yon mòd transfè ant de gen tout pouvwa a ekstèn ak transpò piblik nan lame lokal la ("-3" mòd). Gen kèk itilizatè ki remake tou ke SFTP se yon ti kras dèyè SCP an tèm de Pleasant, ki vin pi aparan sou koneksyon pòv ak latansi segondè.
Pou tès, yon pake openssh altènatif te deja mete nan depo a copr, reparèt li ak aplikasyon an nan sèvis piblik la scp sou pwotokòl la SFTP.
Fuant: https://lists.fedoraproject.org/
Se pou premye a fè kòmantè