热鸟网热门ssh和telnet工具putty被曝安全漏洞

热鸟网4月18日消息，热门SSH..和Telnet工具PuTTY被曝安全漏洞，追踪编号为CVE-2024-31497，影响0.68-0.80版本，攻击者只需使用60个签名就能还原私钥。官方目前已经更新发布了0.81版本，并推荐用户尽快升级到最新版本中。

热鸟网

热鸟网该漏洞由波鸿鲁尔大学的FabianBäumer和MarcusBrinkmann发现，存在于PuTTY工具的SSH..身份认证环节。该应用会调用NISTP-521曲线生成ECDSAnonces（临时唯一加密数字），不过这些数字是通过确定X方式生成的，因此存在偏差。

热鸟网

热鸟网攻击者只需要访问几十条已签名消息和公钥，就能从中恢复私钥，后续就可以伪造签名，并在未经授权的情况下访问服务器。

热鸟网IT之家注：除了PuTTY之外，包括FileZilla、WinSCP和TortoiseGit在内的相关组件也存在该问题。目前官方发布了PuTTY0.81、FileZilla3.67.0、WinSCP6.3.3和TortoiseGit2.15.0.1，修复了该问题。

热鸟网官方表示CVE-2024-31497漏洞非常严重，敦促用户和管理员立即更新。当前使用ECDSANIST-P521密钥的产品或组件均受影响，应通过从authorized_keys、GitH..ub存储库和任何其他相关平台中删除这些密钥，防止未经授权的访问和潜在的数据泄露。