一 漏洞概述

OpenSSH 8.3 p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，未正确过滤其中的特殊字符导致。攻击者可利用该漏洞执行非法命令。
OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

二 影响版本

<=OpenSSH 8.3 p1

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “OpenSSH” 进行搜索，共得到 71,744,764 条 IP 历史记录，主要分布在美国、中国等国家。

五 修复建议

目前厂商暂未发布修复措施解决此安全问题，建议企业用户密切关注厂商主页以获取解决办法：https://www.openssh.com/

六 时间线

知道创宇发布漏洞情报时间：2020年7月31日

七 相关链接

参考链接：https://github.com/cpandya2909/CVE-2020-15778/

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22OpenSSH%22