OpenSSH 命令注入漏洞(CVE-2020-15778)风险通告

2020-07-31 17:12:31
OpenSSH 8.3 p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,未正确过滤其中的特殊字符导致。攻击者可利用该漏洞执行非法命令。

【漏洞描述】

OpenSSH 8.3 p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,未正确过滤其中的特殊字符导致。攻击者可利用该漏洞执行非法命令。

 

OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。

 

【漏洞编号】CVE-2020-15778

 

【漏洞等级】高危,CVSS评分7.8

 

【受影响的版本】

<=openssh-8.3p1

 

【漏洞修复方案】

目前厂商暂未发布修复措施解决此安全问题,腾讯安全专家建议企业用户密切关注厂商主页获取解决办法:https://www.openssh.com/

 

参考链接

https://github.com/cpandya2909/CVE-2020-15778/

https://nvd.nist.gov/vuln/detail/CVE-2020-15778

最新资讯