Несколько новых уязвимостей в самых распространенных реализациях клиента SCP (особо важно для тех, кто часто подключается к чужим серверам): CVE-2019-6111 - присутствует в OpenSSH scp <=7.9 - недобросовестный сервер может перезаписать произвольные файлы в целевом каталоге на стороне клиента, а также подкатологи, если выполняется рекурсивное копирование. CVE-2018-20685 - OpenSSH scp <=7.9 и WinSCP <=5.13 - недобросовестный сервер может изменить права доступа к целевому каталогу на стороне клиента. CVE-2019-6109 и CVE-2019-6110 - OpenSSH scp <=7.9 и PuTTY PSCP - дают серверу возможность манипулировать выводом на стороне клиента через имена объектов и стандартный поток ошибок с помощью управляющих символов ASCII и скрыть действия, произведенные через предыдущие уязвимости.
Для WinSCP доступна версия с исправлением - 5.14.
Для OpenSSH исправленной версии пока нет, но есть патч https://sintonen.fi/advisories/scp-name-validator.patch Либо можно включить и использовать SFTP, входящий в состав OpenSSH: Subsystem sftp /usr/lib/openssh/sftp-server (в отдельном процессе) или Subsystem sftp internal-sftp (встроенный, в процессе sshd)
Для PuTTY нет обновлений, но и уязвимости в нем не устрашающие.
