Серьезная уязвимость безопасности была обнаружена в PuTTY, широко используемом SSH-клиенте. Уязвимость позволяет злоумышленникам в некоторых случаях украсть приватные ключи пользователей. Уязвимость затрагивает версии PuTTY с 0.68 по 0.80. Теперь проблема решена.
Из-за слабости это Он отслеживается под CVE-2024-31497.Злоумышленники могут получить ключи пользователей NIST P-521. Это можно сделать с помощью кода, с помощью которого клиент PuTTY генерирует «подписи». ИКД АСА. Этот код содержит предрассудки Чтобы сгенерированные подписи можно было использовать для получения первичного закрытого ключа. Злоумышленники могут это сделать, если у них на руках около шестидесяти подписей. Для этого им необходимо получить доступ к подписям жертвы, например, временно захватив SSH-сервер, который использует жертва.
Используя украденные ключи, злоумышленники могут создать фальшивые подписи и получить доступ к серверам, на которых использовался соответствующий ключ. Советы пользователям Это значит немедленно отозвать затронутые закрытые ключи и создать новые. Возможно, злоумышленники уже получили достаточно подписей до выпуска патча. Уязвимы только 521-битные ключи Ecdsa. Более того, эти ключи уязвимы только в том случае, если они используются через клиент PuTTY или прокси-сервер аутентификации PuTTY.
Новая версия PuTTY 0.81 устраняет эту уязвимость. Такие службы, как FileZilla, WinSCP, TortoiseGit и TortoiseSVN, также подвергаются риску. Последние версии этой программы также устранили проблему.
«Создатель. Дружелюбный к хипстерам социальный медиа-голик. Интернет-фанат. Страстный фанатик алкоголя».
More Stories
Брюссель, вероятно, начнет с выжидательной позиции после результатов Nvidia
2 крупнейшие компании, предпочитаемые крупными инвесторами
Intel анонсирует процессоры Xeon W-3500 и W-2500 для рабочих станций с числом ядер до 60 — Компьютер — Новости