基於SSH的文件傳輸協議SCP（Secure Copy Protocol）被曝存在安全漏洞。安全研究人員公佈了SCP存在的多個漏洞，這些漏洞可以結合起來利用，分別為CVE-2018-20685、CVE-2019-6111、CVE-2019-6109與CVE-2019-6110。

漏洞中最主要的地方是SCP客戶端無法驗證SCP 服務器返回的對像是否與請求的東西一致，而該問題可以追溯到SCP的基礎——RCP協議（Remote file Copy Protocol），它允許服務器控制發送的文件，那麼結合客戶端無法驗證請求與實際返回的對像是否一致這一弱點，攻擊者就可以採用中間人或直接操縱SCP服務器的方法，覆寫客戶端用戶的.bash_aliases文件，一旦用戶啟用Shell，則執行文件中的惡意代碼。

該問題從1983 年起就已經存在了 35 年。受影響的客戶端包括OpenSSH scp、PuTTY PSCP 與WinSCP scp mode。

OpenSSH scp <=7.9 PuTTY PSCP ? WinSCP scp mode <=5.13

安全人員表示可以採取以下措施解決/緩解該問題：

• 如果可以，就把OpenSSH 切換到sftp 協議，不然就下載補丁強化 SCP：https://sintonen.fi/advisories/scp-name-validator.patch
• WinSCP 更新到5.14 以上版本，目前問題已經解決。
• PuTTY 現在還沒有可選方案。

詳情查看安全公告：https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt