Jakub jelen (një inxhinier sigurie Red Hat) sugjeroi që protokolli SCP të klasifikohet si i vjetëruar për të vazhduar më vonë në eliminimin e tij. Si SCP është konceptualisht afër RCP dhe trashëgon problemet arkitektonike bazat themelore që janë burimi i dobësive të mundshme.
Në veçanti, në SCP dhe RCP, serveri pranon vendimin se cilat skedarë dhe direktori do t'i dërgohen klientit dhe klienti ndjek udhëzimet e serverit dhe kontrollon vetëm korrektësinë e emrave të objekteve të kthyera.
Duke u lidhur me një server të kontrolluar nga një sulmues, serveri mund të dorëzojë skedarë të tjerë, gjë që ka çuar vazhdimisht në identifikimin e dobësive.
Për shembull, deri kohët e fundit, klienti kontrollonte vetëm direktorinë aktuale, por nuk merrte parasysh që serveri mund të lëshonte një skedar me një emër tjetër dhe të mbishkruante skedarët që nuk ishin kërkuar (për shembull, në vend të "test.txt" kërkohet, serveri mund të dërgojë një skedar të quajtur ». bashrc« dhe do të shkruhet nga klienti).
Në postimin, botuar nga Jakub Jelen, mund të lexoni sa vijon:
Përshëndetje përdorues të Fedora! Në vitet e fundit, ka pasur disa çështje në protokollin SCP, duke na çuar në diskutime nëse mund ta heqim qafe atë në fazat fillestare.
Shumica e zërave thanë se ata përdorin SCP kryesisht për kopje të thjeshta ad-hoc dhe sepse programi sftp nuk ofron një ndërfaqe të thjeshtë për të kopjuar një ose dy skedarë para dhe mbrapa dhe sepse njerëzit përdoren vetëm për të shkruar scp në vend të sftp
Një problem tjetër me protokollin SCP është tipari i përpunimit të argumenteve.
Meqenëse përmendet se kur kopjoni skedarët në server të jashtëm rruga e skedarit shtohet në fund të komandës scp lokale, për shembull, kur ekzekutoni komandën «scp / sourcefile remoteserver: 'touch / tmp / exploit.sh` / targetfile'» në server, komanda »touch / tmp / exploit.sh» dhe skedari / tmp u krijua /exploit.sh, prandaj është e rëndësishme të përdorni karaktere korrekt të arratisjes në scp.
Kur scp përdoret për të kaluar në mënyrë rekursive përmbajtjen e direktorisë (opsioni "-r") në sistemet e skedarëve që pranojnë karakterin "" në emrat e skedarëve, një sulmues mund të krijojë një skedar me apostrofa dhe ta bëjë atë kodin për të ekzekutuar.
Në OpenSSH ky problem mbetet i pa korrigjuar, pasi është e mundimshme për ta rregulluar atë pa prishur pajtueshmërinë prapa, për shembull ekzekutimin e komandave për të kontrolluar nëse ekziston një direktori para se ta kopjoni.
Diskutimet e mëparshme kanë treguar që scp zakonisht përdoret për të kopjuar skedarë nga një sistem në tjetrin.
Megjithatë, shumë njerëz përdorin scp në vend të sftp për shkak të ndërfaqes më të thjeshtë dhe e qartë për të kopjuar skedarë, ose thjesht nga zakoni. Jakub sugjeron përdorimin e zbatimit të parazgjedhur të programit scp, i konvertuar për të përdorur protokollin SFTP (për disa raste të veçanta, shërbimi siguron opsionin "-M scp" për t'u kthyer në protokollin SCP), ose shtimin e një mënyre pajtueshmërie në programin sftp e cila ju lejon të përdorni sftp in si një zëvendësim transparent për scp.
Disa muaj më parë kam shkruar një copë toke për scp për të përdorur SFTP brenda vendit (me mundësinë për ta ndryshuar përsëri duke përdorur -M scp) dhe e zhvillova me sukses në disa teste.
Reagimet e përgjithshme në rrjedhën e sipërme ishin gjithashtu mjaft pozitive, kështu që do të doja të dëgjoja edhe nga përdoruesit tanë. Ende ka disa kufizime (mbështetja mungon, nuk do të funksionojë nëse serveri nuk ekzekuton nënsistemin sftp,), por duhet të jetë mjaft i mirë për rastet më të zakonshme të përdorimit.
Midis kufizimeve e qasjes së propozuar, përmendet pamundësia e shkëmbimit të të dhënave me servera që nuk fillojnë nën-sistemin e sftp, dhe mungesa e një mënyre transferimi midis dy hostëve të jashtëm me tranzit përmes hostit lokal (modaliteti "-3"). Disa përdorues gjithashtu vërejnë se SFTP është pak mbrapa SCP për sa i përket gjerësisë së bandës, e cila bëhet më e dukshme në lidhje të dobëta me vonesë të lartë.
Për testim, një paketë alternative openssh tashmë është vendosur në depon e copr, duke e rregulluar atë me implementimin e programit scp mbi protokollin SFTP.
Fuente: https://lists.fedoraproject.org/