PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名
据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
这一隐患由德国波鸿鲁尔大学的Fabian B?umer与Marcus Brinkmann发现,位于PuTTY的SSH身份验证环节。该应用采用NIST P-521曲线生成ECDSA nonces(临时唯一加密数字),但由于生成方式固定,可能导致偏差。
攻击者只需获取数十条已签名消息及公钥,便可从中恢复私钥,进而伪造签名,实现未经授权的服务器访问。
此外,FileZilla、WinSCP以及TortoiseGit等相关组件亦受到影响。目前,官方已发布PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3以及TortoiseGit 2.15.0.1以修复此问题。
官方强调CVE-2024-31497漏洞严重性,强烈建议用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件均受影响,应及时删除authorized_keys、GitHub存储库及其他相关平台中的此类密钥,防范未授权访问及潜在数据泄露。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
服务器
+关注
关注
13文章
9826浏览量
88227 -
安全漏洞
+关注
关注
0文章
152浏览量
16946 -
putty
+关注
关注
1文章
10浏览量
10680
发布评论请先 登录
相关推荐
热点推荐
自签名证书工具cfssl详解
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
如何维护i.MX6ULL的安全内核?
使用的是 v.LF5.15.71_2.2.0,其中包括 Yocto Kirkstone。但是,内核 5.15.71 存在许多安全漏洞:根据 cvedetails.com 为 2077。修补所有这些几乎是不可行的,即使使用了
发表于 04-01 08:28
如何利用iptables修复安全漏洞
随着网络安全威胁的不断增加,安全中心扫描越来越频繁。尤其是在大数据安全中心的漏洞报告中,许多漏洞在生产环境中无法通过服务升级来修复。
缓冲区溢出漏洞的原理、成因、类型及最佳防范实践(借助Perforce 的Klocwork/Hleix QAC等静态代码分析工具)
本期来认识软件漏洞的“常客”——缓冲区溢出,C/C++开发者尤其要注意!全面了解该漏洞的成因、类型、常见示例,以及如何借助Klocwork、Helix QAC等SAST工具进行防护。
【版本控制安全简报】Perforce Helix Core安全更新:漏洞修复与国内用户支持
Perforce Helix Core近日发布安全补丁,解决高危DoS漏洞,安全性进一步增强!获取支持,可咨询Perforce授权代理商龙智,我们提供咨询、试用、安装部署、培训、技术支
微软Outlook曝高危安全漏洞
近日,美国网络安全和基础设施安全局(CISA)发布了一项紧急安全公告,揭示了微软Outlook中存在的一个高危远程代码执行漏洞(CVE-2024-21413)。该
IP地址伪造和反伪造技术
其他合法或非法的IP地址。在TCP/IP协议栈中,IP层负责数据包的传输和路由选择,而对于源 IP 地址的真实性验证就是相对较弱。 有哪些IP地址常见的伪造手段? 这里主要有两种,分别是基于原始套接字的伪造和利用网络工具进行
对称加密技术有哪些常见的安全漏洞?
对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞。 漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
在linux系统通过OpenSSL工具自签https证书
工具介绍 OpenSSL是SSL/TLS协议的实现工具 key是私钥文件,用于对发送给客户端的数据加密,以及对从客户端接收的数据进行解密。 csr是证书签名请求文件,用于提交给证书颁发
常见的漏洞分享
#SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
物联网系统的安全漏洞分析
设备制造商的安全意识不足 许多物联网设备制造商在设计和生产过程中,往往忽视了安全问题,导致设备存在先天性的安全漏洞。这些漏洞可能包括弱密码、未加密的数据传输、不
如何使用 IOTA?分析安全漏洞的连接尝试
在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和数据。我们将深入研究IOTA的工作
漏洞扫描一般采用的技术是什么
漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用
漏洞扫描的主要功能是什么
漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏
苹果macOS 15 Sequoia将修复18年老漏洞,筑牢企业内网安全防线
8月8日,网络安全领域传来重要消息,一个长达18年的安全漏洞正在被黑客广泛利用,以入侵企业内网,威胁企业信息安全。幸运的是,苹果公司已确认在其即将推出的macOS 15 Sequoia系统中将修复这一长期存在的
工商网监
评论