全球主机交流论坛
标题:
虚惊一场
[打印本页]
作者:
Sam_Edward
时间:
2024-4-19 11:29
标题:
虚惊一场
来源于NS的眼见:
PuTTY SSH客户端发现高危漏洞
https://thehackernews.com/2024/04/widely-used-putty-ssh-client-found.html?m=1
广受欢迎的PuTTY SSH客户端发现一个关键漏洞,影响范围涉及从0.68版至0.80版的所有版本。这个漏洞允许攻击者完全恢复NIST P-521(ecdsa-sha2-nistp521)私钥,具有严重的安全风险。
这项发现被归纳于CVE-2024-31497漏洞之中,研究人员Fabian Bäumer和Marcus Brinkmann来自鲁尔大学波鸿,对此贡献良多。PuTTY项目在公告中表示,这个漏洞的存在导致私钥可能被破解:
“拥有几十个签名消息和对应的公钥的攻击者能够恢复私钥,并伪造签名,仿佛是你本人所为,允许他们例如登录你使用该密钥的任何服务器。”
漏洞来源于ECDSA加密nonce的生成偏差,这可能导致私钥被恢复。
这一问题不仅影响PuTTY,还波及到了采用了含有漏洞版本的PuTTY的其他产品,包括FileZilla(3.24.1 - 3.66.5)、WinSCP(5.9.5 - 6.3.2)、TortoiseGit(2.4.0.2 - 2.15.0)以及TortoiseSVN(1.10.0 - 1.14.6)。
在经过披露之后,该漏洞已在PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3和TortoiseGit 2.15.0.1中得到修复。同时,建议使用TortoiseSVN的用户在通过SSH访问SVN仓库时使用最新PuTTY 0.81版本的Plink,直到相关补丁可用。
此外,任何使用了存在漏洞组件的ECDSA NIST-P521密钥应被认为是已经泄露的,并据此应从~/.ssh/authorized_keys文件及其他SSH服务器的文件中删除。
还好本人用的是RSA加密。。。。。
作者:
HOH
时间:
2024-4-19 11:30
有谁用过nist-p521吗?
作者:
Sam_Edward
时间:
2024-4-19 11:34
HOH 发表于 2024-4-19 11:30
有谁用过nist-p521吗?
如果用了ECDSA,putty里面有个选项最高加密就是nist-p521,真的选了,估摸大概率不少人会使用
欢迎光临 全球主机交流论坛 (https://www.91ai.net/)
Powered by Discuz! X3.4