PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名
据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
这一隐患由德国波鸿鲁尔大学的Fabian Bäumer与Marcus Brinkmann发现,位于PuTTY的SSH身份验证环节。该应用采用NIST P-521曲线生成ECDSA nonces(临时唯一加密数字),但由于生成方式固定,可能导致偏差。
攻击者只需获取数十条已签名消息及公钥,便可从中恢复私钥,进而伪造签名,实现未经授权的服务器访问。
此外,FileZilla、WinSCP以及TortoiseGit等相关组件亦受到影响。目前,官方已发布PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3以及TortoiseGit 2.15.0.1以修复此问题。
官方强调CVE-2024-31497漏洞严重性,强烈建议用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件均受影响,应及时删除authorized_keys、GitHub存储库及其他相关平台中的此类密钥,防范未授权访问及潜在数据泄露。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
服务器
+关注
关注
13文章
10096浏览量
90904 -
安全漏洞
+关注
关注
0文章
152浏览量
17114 -
putty
+关注
关注
1文章
10浏览量
10761
发布评论请先 登录
相关推荐
热点推荐
CW32F030C8T6数字签名实战
实现需通过权威认证(如FIPS 140-2),避免使用自定义或未经验证的加密库。
私钥必须存储在安全环境中(如HSM或安全芯片),禁止硬编码在代码中。公钥可嵌入固件,但需校验其完整性和
发表于 11-19 08:03
CW32F030C8T6数字签名的实战指南
使用自定义或未经验证的加密库。
私钥必须存储在安全环境中(如HSM或安全芯片),禁止硬编码在代码中。公钥可嵌入固件,但需校验其完整性和来源。定期轮换密钥以降低泄露风险。
固件
发表于 11-18 06:35
芯源半导体安全芯片技术原理
物联网设备涵盖智能家居、工业控制、智能交通、医疗健康等多个领域,由于其数量庞大、分布广泛、接入方式多样等特点,面临的安全威胁复杂多样。
数据传输安全威胁:设备在与云端、其他设备进行数
发表于 11-13 07:29
xshell和putty连接板子都无法重启,是为什么?
现在用putty连接板子,板子不能启动,板子已经烧录了bootloader,这是什么问题啊
使用串口工具连接板子没有任何影响
发表于 09-24 08:19
行业观察 | 微软发布高危漏洞更新,涉及 Windows、Office、SQL Server 等多款产品
微软于2025年9月的“补丁星期二”发布了81个漏洞的修复更新,覆盖Windows、MicrosoftOffice、SQLServer等核心产品。本次更新修复了2个已被公开披露的零日漏洞,并有9个
Docker生产环境安全配置指南
据统计,超过60%的企业在Docker生产环境中存在严重安全漏洞。本文将揭示那些容易被忽视但致命的安全隐患,并提供完整的企业级解决方案。
IBM调研报告:13%的企业曾遭遇AI模型或AI应用的安全漏洞 绝大多数缺乏完善的访问控制管理
成本报告》显示,当前 AI 应用的推进速度远快于其安全治理体系的建设。该报告首次针对 AI 系统的安全防护、治理机制及访问控制展开研究,尽管遭遇 AI 相关安全漏洞的机构在调研样本中占比不高,一个既定事实是: AI 已成为高价值
自签名证书工具cfssl详解
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
如何维护i.MX6ULL的安全内核?
使用的是 v.LF5.15.71_2.2.0,其中包括 Yocto Kirkstone。但是,内核 5.15.71 存在许多安全漏洞:根据 cvedetails.com 为 2077。修补所有这些几乎是不可行的,即使使用了
发表于 04-01 08:28
如何利用iptables修复安全漏洞
随着网络安全威胁的不断增加,安全中心扫描越来越频繁。尤其是在大数据安全中心的漏洞报告中,许多漏洞在生产环境中无法通过服务升级来修复。
缓冲区溢出漏洞的原理、成因、类型及最佳防范实践(借助Perforce 的Klocwork/Hleix QAC等静态代码分析工具)
本期来认识软件漏洞的“常客”——缓冲区溢出,C/C++开发者尤其要注意!全面了解该漏洞的成因、类型、常见示例,以及如何借助Klocwork、Helix QAC等SAST工具进行防护。
【版本控制安全简报】Perforce Helix Core安全更新:漏洞修复与国内用户支持
Perforce Helix Core近日发布安全补丁,解决高危DoS漏洞,安全性进一步增强!获取支持,可咨询Perforce授权代理商龙智,我们提供咨询、试用、安装部署、培训、技术支
微软Outlook曝高危安全漏洞
近日,美国网络安全和基础设施安全局(CISA)发布了一项紧急安全公告,揭示了微软Outlook中存在的一个高危远程代码执行漏洞(CVE-2024-21413)。该
IP地址伪造和反伪造技术
其他合法或非法的IP地址。在TCP/IP协议栈中,IP层负责数据包的传输和路由选择,而对于源 IP 地址的真实性验证就是相对较弱。 有哪些IP地址常见的伪造手段? 这里主要有两种,分别是基于原始套接字的伪造和利用网络工具进行
对称加密技术有哪些常见的安全漏洞?
对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞。 漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
工商网监
评论