Aufgrund von Schwachstellen im Secure Copy Protocol (SCP) könnten Angreifer manipulierend in Dateiübertragungen eingreifen. Updates stehen zum Teil bereit.

Wer für die Dateiübertragung zwischen Computern OpenSSH, PuTTY oder WinSCP im Secure-Copy-Protocol-Modus (SCP) nutzt, macht sich unter gewissen Umständen angreifbar. Dabei versäumen es Clients unter anderem, vom Server erhaltene Objekte zu verifizieren. So könnten Angreifer beispielsweise Dateien von Opfern ändern.

Von den Lücken ist nur eine (CVE-2018-20685) mit dem Bedrohungsgrad „hoch“ eingestuft. Bei einer Schwachstelle (CVE-2019-6111) gilt das Angriffsrisiko als „mittel“, zwei weitere (CVE-2019-6109, CVE-2019-6110) sind mit „niedrig“ eingestuft. In allen Fällen sollen Übergriffe nur aus einem Netzwerk möglich sein.

Wer sich absichern will, kann schlicht und einfach den SCP-Modus meiden. Nur OpenSSH im SCP-Modus ist von allen Lücken betroffen. Dort findet man noch weitere Details zu den Schwachstellen. In der aktuellen Version 7.9 von OpenSSH haben die Entwickler bislang nur die Schwachstelle mit der Kennung CVE-2018-20685 geschlossen.

WinSCP ist seit der Version 5.14 abgesichert. PuTTY ist offensichtlich noch verwundbar, da die aktuelle Version aus Juli 2017 stammt.