发现多个版本的PUTTY SSH客户端被发现容易受到高度缺陷的影响，在某些情况下，威胁参与者可以剥离用于生成加密签名的私人钥匙。

　　结果，攻击者可以获得对SSH服务器的未经授权访问，或者可以允许作为开发人员签名。

　　正如BleepingComputer报道的那样，版本中的漏洞0.68至0.80被跟踪为CVE-2024-31497，并且至少影响了这些软件：

　　你可能喜欢

　　Openssh漏洞可能会对各地的企业构成巨大威胁

　　Parallels Desktop为Mac用户有一些令人担忧的安全缺陷

　　专家警告说，一个关键的Erlang/OTP安全缺陷“令人惊讶地容易”，所以现在进行补丁

　　Filezilla 3.24.1＆ndash;3.66.5（固定在3.67.0中）

　　WINSCP 5.9.5＆ndash;6.3.2（固定在6.3.3中）

　　Tortoisegit 2.4.0.2＆ndash;2.15.0（固定在2.15.0.1中）

　　Tortoisesvn 1.10.0＆ndash;1.14.6（通过配置TortoisesVn使用最新Putty 0.81发行版中的Plink来缓解措施）

　　研究人员警告说，可能还有其他，具体取决于用过的腻子，敦促用户仔细检查其工具。

　　需要签名

　　发现缺陷的研究人员是Ruhr University Bochum的FabianBäumer和Marcus Brinkmann。Putty是一个免费的开源终端模拟器，串行控制台和网络文件传输应用程序。它支持不同的网络协议，例如SCP，SSH，Telnet等。它也可以连接到串行端口。

　　公司通常使用该服务访问和管理服务器以及其他网络连接的设备（远程）。

　　你是专业人士吗？订阅我们的新闻通讯

　　注册techradar Pro新闻通讯，以获取您的业务成功所需的所有首选，意见，功能和指导！取得成功！请与我联系我们的其他未来品牌的新闻，并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息，您同意您同意的条款和隐私政策，并年龄在16岁或超过16岁之间。

　　正如研究人员所解释的那样，这个问题源于柱塞为NIST P-521曲线生成ECDSA Nonces，用于SSH身份验证：

　　“通过制作SHA-512哈希，然后将其减少Q Q，其中Q是DSA系统中使用的组的顺序。对于Integer DSA（为其开发了Putty的技术），Q最初是160位；最初是椭圆形的DSA（以后），Q是相同的34或Mody bor，Q是相同的34或Mod，Q的相同数量是34或MOD，Q是Q的，Q是160位；对于NIST曲线，”他们说。

　　“在所有这些情况下，除p521以外，通过减少512位数mod Q引入的偏差ques可以忽略不计。但是，在p521的情况下，Q具有521位（即超过512位），减少512位数的mod Q根本没有效果；

　　这里唯一的警告是，攻击者需要58个签名才能计算其目标的私钥。据说，最好的方法是通过git犯罪。可以将Git配置为使用OpenSSH签名，并使用选美大赛提供的SSH键签名。

　　然后，PUTTY的SSH代理会生成签名，然后可以恢复。版本0.81解决了缺陷。

　　Techradar Pro的更多信息

　　一些苹果CPU具有“不可修复”的安全缺陷＆mdash;而且他们正在泄露秘密加密密钥，当今最佳的端点安全工具列表