Якуб Елен (инженер по безопасности Red Hat) предложил классифицировать протокол SCP как устаревший чтобы позже приступить к его устранению. В виде SCP концептуально близок к RCP и наследует архитектурные проблемы основы, которые являются источником потенциальных уязвимостей.
В частности, в SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправлять клиенту, а клиент следует инструкциям сервера и проверяет только правильность возвращенных имен объектов.
Подключившись к серверу, контролируемому злоумышленником, сервер может доставить другие файлы, что неоднократно приводило к выявлению уязвимостей.
Например, до недавнего времени клиент проверял только текущий каталог, но не принимал во внимание, что сервер мог выдать файл с другим именем и перезаписать файлы, которые не запрашивались (например, вместо «test.txt» по запросу, сервер может отправить файл с именем ». bashrc«, и он будет записан клиентом).
В сообщении, опубликованном Якубом Еленом, вы можете прочитать следующее:
Привет, пользователи Fedora! В последние годы в протоколе SCP появилось несколько проблем, которые заставили нас обсудить, можем ли мы избавиться от него на начальных этапах.
Большинство голосов заявили, что используют SCP в основном для простых специальных копий и потому, что утилита sftp не предоставляет простой интерфейс для копирования одного или двух файлов туда и обратно, а также потому, что люди используются только для написания scp вместо sftp.
Еще одна проблема с протоколом SCP - это функция обработки аргументов..
Поскольку упоминается, что при копировании файлов на внешний сервер путь к файлу добавляется в конце команды scp local, например, когда вы запускаете команду «scp / sourcefile remoteserver: 'touch / tmp / exploit.sh` / targetfile'» на сервере, команда »touch / tmp / exploit.sh» и файл / tmp были создан /exploit.sh, поэтому важно использовать правильные escape-символы в scp.
Когда scp используется для рекурсивной передачи содержимого каталогов (параметр "-r") в файловых системах, которые принимают символ '' 'в именах файлов, злоумышленник может создать файл с апострофами и сделать его кодом для запуска.
В OpenSSH эта проблема не исправлена, трудно исправить, не нарушая обратной совместимости, например, запустив команды, чтобы проверить, существует ли каталог перед его копированием.
Предыдущие обсуждения показали, что scp обычно используется для копирования файлов из одной системы в другую.
Тем не менее, многие люди используют scp вместо sftp из-за более простого интерфейса а копировать файлы очевидно, или просто по привычке. Якуб предлагает использовать реализацию утилиты scp по умолчанию, преобразованную для использования протокола SFTP (для некоторых особых случаев утилита предоставляет параметр «-M scp» для возврата к протоколу SCP), или добавить режим совместимости в утилиту sftp. что позволяет использовать sftp в качестве прозрачной замены scp.
Несколько месяцев назад я написал патч для scp для внутреннего использования SFTP (с возможностью вернуть его обратно с помощью -M scp) и успешно запустил его в некоторых тестах.
Общая обратная связь с апстримом также была весьма положительной, поэтому я хотел бы услышать и от наших пользователей. У него все еще есть некоторые ограничения (поддержка отсутствует, она не будет работать, если на сервере не запущена подсистема sftp,…), но ее должно хватить для наиболее распространенных случаев использования.
Между ограничениями предлагаемого подхода, упоминается о невозможности обмена данными с серверами, не запускающими подсистему sftp, и отсутствие режима передачи между двумя внешними хостами с транзитом через локальный хост (режим «-3»). Некоторые пользователи также отмечают, что SFTP немного отстает от SCP с точки зрения пропускной способности, что становится более заметным при плохих соединениях с большой задержкой.
Для тестирования альтернативный пакет openssh уже был помещен в репозиторий copr, исправив его с помощью реализации утилиты scp по протоколу SFTP.
источник: https://lists.fedoraproject.org/