OpenSSH & Putty: Sicherheitlücke in SCP ermöglicht Dateiaustausch
Ein bösartiger Server kann Dateien austauschen, die mittels SCP über SSH heruntergeladen werden - im schlimmsten Fall Schadcode. Insgesamt fünf Sicherheitslücken klaffen in den aktuellen Versionen von OpenSSH, Putty und WinSCP.

Mit SCP (Secure Copy Protocol) können Daten zwischen verschiedenen Rechnern via das Netzwerkprotokoll SSH ausgetauscht werden. Ob die angefragten Dateien mit den empfangenen Dateien übereinstimmen, überprüft SCP jedoch nicht. Bösartige SSH-Server können die angeforderten Dateien durch andere ersetzen oder ergänzen. Auf diese Weise lassen sich beispielsweise Konfigurationsdateien im Verzeichnis von SCP austauschen oder Dateien, die Schadcode enthalten, auf dem anfragenden System platzieren. Entdeckt hat die Sicherheitslücken Harry Sintonen, der bei F-Secure arbeitet. Betroffen sind SCP in OpenSSH, PSCP in Putty sowie WinSCP. Die Sicherheitslücken wurden in den aktuellen stabilen Versionen der Programme bisher nicht geschlossen.
Insgesamt fand Sintonen fünf Sicherheitslücken. Mit CVE-2018-20685 lassen sich Dateirechte des Zielordners ändern. Mit zwei Sicherheitslücken lassen sich zusätzlich übertragene Dateien verbergen (CVE-2019-6109, CVE-2019-6110). Sowohl in SCP (CVE-2019-6111) als auch in WinSCP (CVE-2018-20684) fand der Sicherheitsforscher eine Lücke, mit der sich Dateien oder Ordner im Zielordner von SCP durch einen SSH-Server austauschen lassen. Hierüber kann auf Linux-Systemen beispielsweise die .bashrc ausgetauscht werden, in der Aliasse für Programme festgelegt werden können. Über einen solchen lässt sich bei einem normalen Programmaufruf Schadcode ausführen.
Betroffene Programme
Die Sicherheitslücken hat Sintonen bereits im August an die Softwareprojekte gemeldet. WinSCP ist von einer Lücke betroffen, die in Version 5.14 geschlossen wurde. Diese steht bisher nur als Release Candidate (RC) zur Verfügung. Die aktuelle OpenSSH-Version 7.9 ist von allen Lücken mit Ausnahme der WinSCP-Lücke betroffen, CVE-2018-20685 wurde zwar im November geschlossen, jedoch nicht offiziell veröffentlicht. Die aktuelle Version 0.7 von Putty wurde im Juli 2017 veröffentlicht und müsste demnach von CVE-2019-6109 und CVE-2019-6110 betroffen sein.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Oh, cool: Der MySQL-Client hat einen sehr ähnlichen Fehler: https://gwillem.gitlab.io...
Ja stimmt, hatte ich auch nochmal nach geschaut und gefunden!
/edit/ landete im falschen tread
Ich muss etwas nicht verstanden haben... ... OK ich lese das verlinkte File.
So wäre es wenn es keine Lücke geben würde. Du hast die Lücke quasi beschrieben.