OpenSSH 操作系统命令注入漏洞

漏洞介绍

OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。

漏洞补丁

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://www.openssh.com/

参考网址

来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20200731-0007/

来源:MISC

链接：https://news.ycombinator.com/item?id=25005567

来源:MISC

链接：https://github.com/cpandya2909/CVE-2020-15778/

来源:MISC

链接：https://www.openssh.com/security.html

来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-15778

来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/OpenSSH-code-execution-via-scp-Backticks-32917

来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3260/

来源:www.ibm.com

链接：https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-openssh-affects-ibm-integrated-analytics-system-2/

来源:www.ibm.com

链接：https://www.ibm.com/blogs/psirt/security-bulletin-openssh-vulnerability-affects-ibm-spectrum-protect-plus-cve-2020-15778/

来源:www.nsfocus.net

链接：http://www.nsfocus.net/vulndb/47482

来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3260.2/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1519