The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

15.01.2019 11:58  Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику.

  • CVE-2019-6111 - возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога ("../"), но не учитывает передачу файлов с именами, отличающимися от изначально запрошенных. В случае рекурсивного копирования (-r) кроме имён файлов подобным способом можно манипулировать и именами подкаталогов. Например, в случае копирования пользователем в домашний каталог файлов, подконтрольный атакующим сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены утилитой scp в домашнем каталоге пользователя;
  • CVE-2018-20685 - возможность изменения прав доступа на целевой каталог при отдаче сервером каталога с пустыми именем или точкой. При получении от сервера команды "D0777 0 \n" или "D0777 0 .\n" клиент применит изменение прав доступа к текущему каталогу;
  • CVE-2019-6109, CVE-2019-6110 - возможность искажения вывода в терминал через подстановку управляющих ASCII символов в передаваемые строковые данные и отображаемый на стороне клиента поток STDERR. Уязвимость может применяться для скрытия сведений о загрузке незапрошенных файлов.

Проблемы проявляются во всех версиях OpenSSH (включая 7.9), PuTTY и WinSCP (включая 5.13). Для OpenSSH предложено исправление в виде патча. Пакет Tectia SSH scpg3 проблемам не подвержен, так как базируется только на использовании SFTP и не поддерживает протокол SCP. В качестве обходного варианта защиты рекомендуется использовать sftp вместо scp. В дистрибутивах проблема пока остаётся неисправленной (Debian, Ubuntu, Arch, RHEL, SUSE).

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена
  3. OpenNews: Концепция атаки по подмене копируемого в терминал текста с сайта
  4. OpenNews: Уязвимость в Gnome-terminal, xfce4-terminal, Terminator и других эмуляторах терминалов на базе libVTE
  5. OpenNews: Метод подстановки троянского кода, невидимого при просмотре в git diff
  6. OpenNews: Уязвимость в GnuPG
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: scp, ssh, terminal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 12:10, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Интересно как у rsync с этим, теоретически он должен быть даже более уязвим для таких вещей, я имею ввиду сам протокол.
     
     
  • 2.17, solardiz (ok), 16:33, 15/01/2019 [^] [ответить]    [к модератору]
  • +4 +/
    rsync обычно используется в другой threat model - синхронизируется дерево целиком, и клиент (и его пользователь) осознанно доверяет серверу в отношении того, какие имена файлов с какими правами придут внутри этого дерева, но не в отношении доступов за пределы дерева. Такая уязвимость в rsync была до 2015 года (https://www.opennet.ru/opennews/art.shtml?num=43566), в то время scp на такую атаку проверяет вроде бы с 2000 года (судя по CVE-2000-0992).

    При использовании rsync на отдельные явно указанные файлы, да, интересный вопрос может ли сервер подменить их имена - не знаю исследовали ли это.

    Возможность манипулирования выдачей на терминал через escape-последовательности в именах файлов присутствует почти во всех подобных клиентах для передачи файлов.

     
  • 1.2, svsd_val (ok), 12:19, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Хех, любопытные ошибки ...
     
  • 1.3, kai3341 (ok), 12:50, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    На Heartbleed не потянет
     
  • 1.4, Anon4ik_ (?), 12:54, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Ну вот, Тео придется слоган менять. Уязвимость вполне себе удаленная и вполне себе из коробки.
     
     
  • 2.5, Andrey Mitrofanov (?), 13:03, 15/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ну вот, Тео придется слоган менять. Уязвимость вполне себе удаленная и вполне
    > себе из коробки.

    Так у него ж sshD из короп-пки не установлен, не запущен и вообще не часть Базовой Системы. не?   <///>

     
     
  • 3.7, Аноним (7), 13:22, 15/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Запущен, установлен и вообше часть базовой системы. Но это не remote vulnerability.
     
  • 3.8, кульхаксор (?), 13:26, 15/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    так sshd-то не у него, а у меня - все норм, запущен.

    а пользователю его чудо-дистрибутива, конечно, надо написать в motd "ни в коем случае не запускай scp, иначе мы ничего не гарантируем!" (и в следующей строке - "и ssh тоже не запускай - там ТАКОЕ можно сделать!")

     
  • 3.19, Аноним (19), 19:40, 15/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Тео юзает OpenBSD через пусси.ехе из Десяточки (с) аноним с опеннета
     
  • 1.6, J.L. (?), 13:11, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    действительно интересные баги в череде переполнений и анализов кеша по сторонним каналам
     
  • 1.9, Аноним (9), 14:34, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Помните новость про награду за уязвимость в используемых в гос. учреждениях ЕС? Так вот списке была PuTTY.

    Нашли всё-таки :)

     
     
  • 2.11, Аноним (11), 14:44, 15/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Потому над блокнотом стебался а не putty.
     
  • 1.10, dubadaba (?), 14:36, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Видать Тео опять нужны деньги на оплату электроэнергии. Срочно скидывайтесь!
     
     
  • 2.12, нах (?), 15:12, 15/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    зачем? Без электроэнергии его система абсолютно неуязвима.

     
  • 1.14, Аноним (14), 15:42, 15/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Ну вот, если так дела и дальше пойдут, придется одевать защитные очки наушники в... весь текст скрыт [показать]
     
  • 1.16, Ilya Indigo (ok), 16:18, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Вот это новость!
    Я вообще даже не подозревал о существовании scp.
    Думал, что в ssh копировать файлы только по sftp возможно.
     
  • 1.18, YetAnotherOnanym (ok), 16:34, 15/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А чо, вполне себе такое родительское поведение со стороны сервера - мне неважно, чего ты хочешь, я знаю, что тебе нужно.
     
     
  • 2.20, КО (?), 23:03, 15/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Сервер как раз так себя не ведет. Но клиент ему доверяет и безоговорочно подчиняется.
     
  • 1.23, IZh. (?), 10:34, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Фиксить, конечно, надо. Но в целом не настолько смертельно. Часто вы копируете файлы по scp с недоверенных серверов? А как вы самим файлам доверяете, ведь злой серевер мог и их содержимое, в первую очередь, поменять.
     
     
  • 2.24, Аноним (24), 22:34, 16/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    То есть тебя не беспокоит тот факт, что твой же собственный сервер, но попяченый через какой-нибудь нульдэй, будет подгаживать тебе лоадером какой-нибудь космической хрени тебе в .profile? Ок, чо.
     
     
  • 3.25, Аноним (25), 11:29, 17/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Во первых, сервер попяченый через какой-нибудь нульдэй обязательно должен имет... весь текст скрыт [показать]
     
     
  • 4.26, нах (?), 11:35, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > И к стати, много ли операторов (админов) смотрят на дату (не говорю
    > уж, на время) и с какой системы  был последний логин
    > на подключаемый сервер, а?

    все админы локалхоста - тщательно смотрят и делают пометочки в календарике - вот, я опять на него зашел, ага.


    А когда хостов станет хотя бы пара сотен - тебе уже будет просто не до этого.

     
     
  • 5.28, Аноним (25), 13:13, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В том то и вопрос! Как поступают профессионалы (истинные параноики ;)?
     
     
  • 6.29, Andrey Mitrofanov (?), 13:39, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > В том то и вопрос! Как поступают профессионалы (истинные параноики ;)?

    Сверлят аккумуляторной дрелью ЖДД.  В телевизоре ж был а инструкция для начинающих[I]!?

     
     
  • 7.30, Аноним (25), 16:22, 17/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Это был вопрос не для стеба Хотя если очень хочется, то можно Но профессиона... весь текст скрыт [показать]
     
  • 7.31, Аноним (25), 16:23, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    К стати, что такое ЖДД?
     
     
  • 8.32, Andrey Mitrofanov (?), 16:28, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > К стати, что такое ЖДД?

    Жёсткий Дисковый Драйв.

     
  • 2.27, нах (?), 11:39, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Фиксить, конечно, надо. Но в целом не настолько смертельно. Часто вы копируете
    > файлы по scp с недоверенных серверов?

    да, и с не 100% доверенных - еще чаще.

    > А как вы самим файлам доверяете, ведь злой серевер мог и их содержимое, в первую очередь,

    так же как любым файлам, скачанным из интернета - пока не полезешь его открывать чем попало, особого вреда от него, скорее всего, не будет. Жаль что не у всех и не всегда у нас windows, которая этот факт умеет замечать самостоятельно, и предупреждать забывшегося пользователя.

    А тут , внезапно, можно уже и не открывать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor