PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

描述

  据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。

  这一隐患由德国波鸿鲁尔大学的Fabian Bäumer与Marcus Brinkmann发现,位于PuTTY的SSH身份验证环节。该应用采用NIST P-521曲线生成ECDSA nonces(临时唯一加密数字),但由于生成方式固定,可能导致偏差。

  攻击者只需获取数十条已签名消息及公钥,便可从中恢复私钥,进而伪造签名,实现未经授权的服务器访问。

  此外,FileZilla、WinSCP以及TortoiseGit等相关组件亦受到影响。目前,官方已发布PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3以及TortoiseGit 2.15.0.1以修复此问题。

  官方强调CVE-2024-31497漏洞严重性,强烈建议用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件均受影响,应及时删除authorized_keys、GitHub存储库及其他相关平台中的此类密钥,防范未授权访问及潜在数据泄露。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分