PuTTY Secure Shell (SSH) and Telnet client սպասարկողներn օգտատերերին զգուշացնում են 0.68-ից մինչև 0.80 տարբերակների վրա ազդող կրիտիկական խոցելիության մասին, որոնք կարող են օգտագործվել NIST P-521 (ecdsa-sha2-nistp521) private key–երում։
Խոցելիությունը վերագրվել է CVEE կատալոգում գրանցված CVE-2024-31497–ին, իսկ բացահայտումը վերագրվել է Բոխումի Ռուրի համալսարանի փորձագետներ՝ Ֆաբիան Բաումերին և Մարկուս Բրինկմանին:
Open Source Software Security (oss-sec) mailing list–ում տեղադրված հաղորդագրության մեջ Բաումերը նկարագրել է, որ խոցելիությունը բխում է ECDSA cryptographic nonces առաջացումից, ինչն էլ կարող է հնարավորություն տալ վերականգնել private key–ին։
«Յուրաքանչյուր ECDSA-ի առաջին 9 բիթերը զրոներ են», – բացատրում է Բաումերը:
PuTTY-ի վրա ազդելուց բացի, այն նաև ազդում է այլ ապրանքների վրա, որոնք ներառում են ծրագրաշարի հետևյալ տարբերակը՝
– FileZilla (3.24.1 – 3.66.5)
– WinSCP (5.9.5 – 6.3.2)
– TortoiseGit (2.4.0.2 – 2.15.0)
– TortoiseSVN (1.10.0 – 1.14.6)
ECDSA NIST-P521 key–երը, որոնք օգտագործվում են խոցելի բաղադրիչներից որևէ մեկի հետ, համարվում են վտանգված և չեղարկվում են՝ հեռացվելով ~/.ssh/authorized_keys ֆայլերից և դրանց համարժեք SSH սերվերներից։
Աղբյուրը՝ https://thehackernews.com/
