В клиенте PuTTY 0.64 исправлена уязвимость, позволявшая раскрыть конфиденциальные данные
Брешь существовала из-за ошибки при аутентификации по ключам, в результате которой закрытый ключ пользователя оставался в памяти процесса.
Как сообщается на сайте chiark.greenend.org.uk, распространяемый под лицензией MIT клиент для различных протоколов удаленного доступа PuTTY обновился д 0.64. В новой версии исправлена брешь , позволявшая удаленному злоумышленнику получить доступ к конфиденциальной информации.
Уязвимость существовала из-за ошибки при аутентификации по ключам, в результате которой закрытый ключ пользователя оставался в памяти процесса. Потенциальный злоумышленник мог получить его, прочитав содержимое памяти. Кроме того, ключ мог оказаться в дампе памяти или разделе подкачки. Считалось, что уязвимость была исправлена в предыдущей версии PuTTY, однако это оказалось не так.
Помимо вышеописанной уязвимости, в обновлении исправлена брешь, возникающая по причине отсутствия проверки диапазонов значений при обмене ключами протокола Диффи-Хеллмана, которая также может считаться проблемой безопасности.
В PuTTY 0.64 также была реализована поддержка совместного использования соединений SSH-2, благодаря чему несколько клиентов PuTTY теперь могут использовать одно соединение к идентичному хосту. Дополнительные опции командной строки позволяют явно определить ключи, используемые для хоста.
Ваш провайдер знает о вас больше, чем ваша девушка?