В клиенте PuTTY 0.64 исправлена уязвимость, позволявшая раскрыть конфиденциальные данные

image

Теги: уязвимость, обновление, исправление

Брешь существовала из-за ошибки при аутентификации по ключам, в результате которой закрытый ключ пользователя оставался в памяти процесса. 

Как  сообщается  на сайте chiark.greenend.org.uk, распространяемый под лицензией MIT клиент для различных протоколов удаленного доступа PuTTY обновился д 0.64. В новой версии исправлена  брешь , позволявшая удаленному злоумышленнику получить доступ к конфиденциальной информации.

Уязвимость существовала из-за ошибки при аутентификации по ключам, в результате которой закрытый ключ пользователя оставался в памяти процесса. Потенциальный злоумышленник мог получить его, прочитав содержимое памяти. Кроме того, ключ мог оказаться в дампе памяти или разделе подкачки. Считалось, что уязвимость была исправлена в предыдущей версии PuTTY, однако это оказалось не так.

Помимо вышеописанной уязвимости, в обновлении исправлена брешь, возникающая по причине отсутствия проверки диапазонов значений при обмене ключами протокола Диффи-Хеллмана, которая также может считаться проблемой безопасности.

В PuTTY 0.64 также была реализована поддержка совместного использования соединений SSH-2, благодаря чему несколько клиентов PuTTY теперь могут использовать одно соединение к идентичному хосту. Дополнительные опции командной строки позволяют явно определить ключи, используемые для хоста.   

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.