PuTTY sebezhetőség
A PuTTY Secure Shell (SSH) és Telnet kliens karbantartói figyelmeztetik a felhasználókat egy kritikus sebezhetőségre, amely a 0.68 és 0.80 közötti verziókat érinti, és amely kihasználható a NIST P-521 (ecdsa-sha2-nistp521) privát kulcsok teljes helyreállítására.
A hiba a CVE-2024-31497 CVE-azonosítót kapta, a felfedezői Fabian Bäumer és Marcus Brinkmann, a bochumi Ruhr Egyetem kutatói. A sebezhetőség hatása a privát kulcs kompromittálása – írja a PuTTY projekt egy közleményben.
Egy támadó néhány tucat aláírt üzenet és a nyilvános kulcs birtokában elegendő információval rendelkezik ahhoz, hogy visszaszerezze a privát kulcsot, majd úgy hamisítsa az aláírásokat, mintha azok Öntől származnának, így (például) bejelentkezhet bármelyik szerverre, amelyhez ezt a kulcsot használja.