虚惊一场

Sam_Edward

来源于NS的眼见：

PuTTY SSH客户端发现高危漏洞

https://thehackernews.com/2024/04/widely-used-putty-ssh-client-found.html?m=1

广受欢迎的PuTTY SSH客户端发现一个关键漏洞，影响范围涉及从0.68版至0.80版的所有版本。这个漏洞允许攻击者完全恢复NIST P-521（ecdsa-sha2-nistp521）私钥，具有严重的安全风险。

这项发现被归纳于CVE-2024-31497漏洞之中，研究人员Fabian Bäumer和Marcus Brinkmann来自鲁尔大学波鸿，对此贡献良多。PuTTY项目在公告中表示，这个漏洞的存在导致私钥可能被破解：

    “拥有几十个签名消息和对应的公钥的攻击者能够恢复私钥，并伪造签名，仿佛是你本人所为，允许他们例如登录你使用该密钥的任何服务器。”

漏洞来源于ECDSA加密nonce的生成偏差，这可能导致私钥被恢复。

这一问题不仅影响PuTTY，还波及到了采用了含有漏洞版本的PuTTY的其他产品，包括FileZilla（3.24.1 - 3.66.5）、WinSCP（5.9.5 - 6.3.2）、TortoiseGit（2.4.0.2 - 2.15.0）以及TortoiseSVN（1.10.0 - 1.14.6）。

在经过披露之后，该漏洞已在PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3和TortoiseGit 2.15.0.1中得到修复。同时，建议使用TortoiseSVN的用户在通过SSH访问SVN仓库时使用最新PuTTY 0.81版本的Plink，直到相关补丁可用。

此外，任何使用了存在漏洞组件的ECDSA NIST-P521密钥应被认为是已经泄露的，并据此应从~/.ssh/authorized_keys文件及其他SSH服务器的文件中删除。





还好本人用的是RSA加密。。。。。

HOH

有谁用过nist-p521吗？

Sam_Edward

HOH 发表于 2024-4-19 11:30
有谁用过nist-p521吗？

如果用了ECDSA，putty里面有个选项最高加密就是nist-p521，真的选了，估摸大概率不少人会使用