Kritisk sårbarhet i PuTTY

En sårbarhet har rättats i PuTTY som gör det möjligt för en angripare att under vissa förutsättningar komma åt den privata krypteringsnyckeln för en användare. Sårbarheten (CVE-2024-31497) har ännu inte någon CVSS-klassificering. [1]

Sårbarheten påverkar ECDSA-nycklar som använder NIST P521. En angripare kan återskapa den privata nyckeln genom att komma åt ett 60-tal signaturer från sårbara versioner av PuTTY. Alla sådana nycklar som används med sårbara versioner av PuTTY bör betraktas som röjda.

PuTTY är en Windows-programvara som används för att upprätta terminalanslutningar, vanligtvis till Linux- och Unix-servrar. Sårbarheten upptäcktes av cybersäkerhetsforskare som inledde en delgivning av information om kritisk sårbarhet (CVD). I samarbete med huvudutvecklaren bakom PuTTY har en rättning av sårbarheten delats med flera större projekt som använder mjukvaran innan offentliggörandet.

Påverkade versioner

PuTTY 0.68 - 0.80

Sårbarheten påverkar även (OBS! Ej uttömmande lista. OBS!):

FileZilla 3.24.1 - 3.66.5
WinSCP 5.9.5 - 6.3.2
TortoiseGit 2.4.0.2 - 2.15.0
TortoiseSVN 1.10.0 - 1.14.6

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt. Generera även nya privata krypteringsnycklar av den typ som påverkas av sårbarheten i samband med detta.

Källor

[1] https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html