4月18日,知名网络工具PuTTY被曝出存在安全漏洞,该漏洞追踪编号为CVE-2024-31497。根据报告,这次的漏洞影响了PuTTY的0.68至0.80版本,并且攻击者只需要使用60个签名就能还原私钥。
官方已经发布了最新版本的0.81版以修复这个漏洞,并建议用户尽快升级到最新版。发现这次漏洞的是波鸿鲁尔大学的Fabian B?umer和Marcus Brinkmann,在PuTTY的SSH身份认证环节存在这个漏洞。
通过访问几十条已签名消息和公钥,攻击者就能够从中恢复私钥,并伪造签名,在未经授权的情况下访问服务器。除了PuTTY之外,FileZilla、WinSCP和TortoiseGit等组件也存在这个问题。目前官方发布了PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3和TortoiseGit 2.15.0.1来解决这个问题。
官方警告称,CVE-2024-31497漏洞非常严重,并敦促所有用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件都会受到影响,他们建议删除这些密钥以防止未经授权访问和潜在的数据泄露。
本文属于原创文章,如若转载,请注明来源:PuTTY发现高危漏洞 !官方已发布补丁https://news.zol.com.cn/866/8664437.html
