Abo
  • Services:

OpenSSH & Putty: Sicherheitlücke in SCP ermöglicht Dateiaustausch

Ein bösartiger Server kann Dateien austauschen, die mittels SCP über SSH heruntergeladen werden - im schlimmsten Fall Schadcode. Insgesamt fünf Sicherheitslücken klaffen in den aktuellen Versionen von OpenSSH, Putty und WinSCP.

Artikel veröffentlicht am ,
Ob das wirklich die per SCP angeforderten Dokumente sind?
Ob das wirklich die per SCP angeforderten Dokumente sind? (Bild: nile/Pixabay)

Mit SCP (Secure Copy Protocol) können Daten zwischen verschiedenen Rechnern via das Netzwerkprotokoll SSH ausgetauscht werden. Ob die angefragten Dateien mit den empfangenen Dateien übereinstimmen, überprüft SCP jedoch nicht. Bösartige SSH-Server können die angeforderten Dateien durch andere ersetzen oder ergänzen. Auf diese Weise lassen sich beispielsweise Konfigurationsdateien im Verzeichnis von SCP austauschen oder Dateien, die Schadcode enthalten, auf dem anfragenden System platzieren. Entdeckt hat die Sicherheitslücken Harry Sintonen, der bei F-Secure arbeitet. Betroffen sind SCP in OpenSSH, PSCP in Putty sowie WinSCP. Die Sicherheitslücken wurden in den aktuellen stabilen Versionen der Programme bisher nicht geschlossen.

Stellenmarkt
  1. BWI GmbH, Nürnberg, München, deutschlandweit
  2. WBS GRUPPE, Berlin

Insgesamt fand Sintonen fünf Sicherheitslücken. Mit CVE-2018-20685 lassen sich Dateirechte des Zielordners ändern. Mit zwei Sicherheitslücken lassen sich zusätzlich übertragene Dateien verbergen (CVE-2019-6109, CVE-2019-6110). Sowohl in SCP (CVE-2019-6111) als auch in WinSCP (CVE-2018-20684) fand der Sicherheitsforscher eine Lücke, mit der sich Dateien oder Ordner im Zielordner von SCP durch einen SSH-Server austauschen lassen. Hierüber kann auf Linux-Systemen beispielsweise die .bashrc ausgetauscht werden, in der Aliasse für Programme festgelegt werden können. Über einen solchen lässt sich bei einem normalen Programmaufruf Schadcode ausführen.

Betroffene Programme

Die Sicherheitslücken hat Sintonen bereits im August an die Softwareprojekte gemeldet. WinSCP ist von einer Lücke betroffen, die in Version 5.14 geschlossen wurde. Diese steht bisher nur als Release Candidate (RC) zur Verfügung. Die aktuelle OpenSSH-Version 7.9 ist von allen Lücken mit Ausnahme der WinSCP-Lücke betroffen, CVE-2018-20685 wurde zwar im November geschlossen, jedoch nicht offiziell veröffentlicht. Die aktuelle Version 0.7 von Putty wurde im Juli 2017 veröffentlicht und müsste demnach von CVE-2019-6109 und CVE-2019-6110 betroffen sein.

Zu den Kommentaren springen
Meistgelesen
  1. SpaceX
    Dragon-Raumschiff bei Test explodiert
  2. Konkurrenz für Netflix und Co.
    Disney+ startet zum Kampfpreis - auch in Deutschland
  3. Wissenschaft
    Kein Foto von einem schwarzen Loch
  4. Untersuchung vorgestellt
    Kartellamt warnt vor Tricks der Vergleichsportale
  5. Elektronikhändler
    Media Saturn soll vor drastischem Stellenabbau stehen
Anzeige
Spiele-Angebote
  1. 4,99€
  2. 34,95€
  3. (-40%) 11,99€
  4. 4,99€
Kommentarübersicht
Re: Ich versteh nicht ganz
hjp 21. Jan 2019

Oh, cool: Der MySQL-Client hat einen sehr ähnlichen Fehler: https://gwillem.gitlab.io...

Re: WinSCP: Das wird lange dauern...
Heldbock 16. Jan 2019

Ja stimmt, hatte ich auch nochmal nach geschaut und gefunden!

wozu auch ...
serra.avatar 15. Jan 2019

/edit/ landete im falschen tread

Auf einem "bösen" Server "sicher" Dateien lagern?
jude 15. Jan 2019

Ich muss etwas nicht verstanden haben... ... OK ich lese das verlinkte File.

Re: Wieso Sicherheitslücke?
gaym0r 15. Jan 2019

So wäre es wenn es keine Lücke geben würde. Du hast die Lücke quasi beschrieben.

Folgen Sie uns
       
Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich

Wir haben den neuen ANC-Kopfhörer von Audio Technica gegen die Konkurrenz von Bose und Sony antreten lassen. Im Video sind die Unterschiede bei der ANC-Leistung zwischen dem ATH-ANC900BT, dem Quiet Comfort 35 II und dem WH-1000XM3 deutlich hörbar.

Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich Video aufrufen
AdBlocker
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

    Days Gone
    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner

      Fitbit
      Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
      Fitbit Versa Lite im Test
      Eher smartes als sportliches Wearable

      Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
      Von Peter Steinlechner

      1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
      2. Inspire Fitbits neues Wearable gibt es nicht im Handel
      3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor
      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /