PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名
据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
这一隐患由德国波鸿鲁尔大学的Fabian Bäumer与Marcus Brinkmann发现,位于PuTTY的SSH身份验证环节。该应用采用NIST P-521曲线生成ECDSA nonces(临时唯一加密数字),但由于生成方式固定,可能导致偏差。
攻击者只需获取数十条已签名消息及公钥,便可从中恢复私钥,进而伪造签名,实现未经授权的服务器访问。
此外,FileZilla、WinSCP以及TortoiseGit等相关组件亦受到影响。目前,官方已发布PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3以及TortoiseGit 2.15.0.1以修复此问题。
官方强调CVE-2024-31497漏洞严重性,强烈建议用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件均受影响,应及时删除authorized_keys、GitHub存储库及其他相关平台中的此类密钥,防范未授权访问及潜在数据泄露。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
服务器
+关注
关注
14文章
10353浏览量
91742 -
安全漏洞
+关注
关注
0文章
152浏览量
17181 -
putty
+关注
关注
1文章
10浏览量
10816
发布评论请先 登录
相关推荐
热点推荐
imx93 现在是否支持用于安全启动签名的 SGK,还是仅支持 SRK?
imx93 现在是否支持用于安全启动签名的 SGK,还是仅支持 SRK?
Application note 12312 \"Secure Boot on AHAB Supported
发表于 04-08 07:08
自定义 i.MX RT1176AVMA8板上的安全配置工具 UART 连接失败的原因?
端口,同样的问题
问题:
在尚未启用 HAB 时,如何使安全预配工具加载未签名的 flashloader?
有没有办法绕过处理器验证步骤,在空白的 RT1176 设备上进行初始 UART 闪烁?
在
发表于 04-07 06:59
开源项目BomberCat安全测试工具总体介绍
硬件安全测试缺一款多技术融合的利器吗?今天带来一款开源安全测试工具, 集 NFC 与磁条两大主流卡片技术于一体,专为银行终端、门禁系统等设备的漏洞
分析嵌入式软件代码的漏洞-代码注入
。
虽然这是一个代码注入安全漏洞,但由于它唯一可能造成的伤害就是可以被用来获取栈中的数据,所以它还是可以被原谅的。
可如果位于那里的是敏感数据(如密码或证书密钥),情况就会变得很糟;而且由于攻击者还可
发表于 12-22 12:53
兆芯亮相第十五届网络安全漏洞分析与风险评估大会
12月10日,由中央网络安全和信息化委员会办公室、国家市场监督管理总局共同指导,中国信息安全测评中心主办的“第十五届网络安全漏洞分析与风险评估大会(VARA)”在天津梅江会展中心隆重召开。
CW32F030C8T6数字签名实战
实现需通过权威认证(如FIPS 140-2),避免使用自定义或未经验证的加密库。
私钥必须存储在安全环境中(如HSM或安全芯片),禁止硬编码在代码中。公钥可嵌入固件,但需校验其完整性和
发表于 11-19 08:03
CW32F030C8T6数字签名的实战指南
使用自定义或未经验证的加密库。
私钥必须存储在安全环境中(如HSM或安全芯片),禁止硬编码在代码中。公钥可嵌入固件,但需校验其完整性和来源。定期轮换密钥以降低泄露风险。
固件
发表于 11-18 06:35
芯源半导体安全芯片技术原理
物联网设备涵盖智能家居、工业控制、智能交通、医疗健康等多个领域,由于其数量庞大、分布广泛、接入方式多样等特点,面临的安全威胁复杂多样。
数据传输安全威胁:设备在与云端、其他设备进行数
发表于 11-13 07:29
xshell和putty连接板子都无法重启,是为什么?
现在用putty连接板子,板子不能启动,板子已经烧录了bootloader,这是什么问题啊
使用串口工具连接板子没有任何影响
发表于 09-24 08:19
行业观察 | 微软发布高危漏洞更新,涉及 Windows、Office、SQL Server 等多款产品
微软于2025年9月的“补丁星期二”发布了81个漏洞的修复更新,覆盖Windows、MicrosoftOffice、SQLServer等核心产品。本次更新修复了2个已被公开披露的零日漏洞,并有9个
Docker生产环境安全配置指南
据统计,超过60%的企业在Docker生产环境中存在严重安全漏洞。本文将揭示那些容易被忽视但致命的安全隐患,并提供完整的企业级解决方案。
行业观察 | Azure、RDP、NTLM 均现高危漏洞,微软发布2025年8月安全更新
微软2025年8月的“补丁星期二”发布了针对Windows、Office、SQLServer、Exchange、Azure等产品的107个漏洞的修复更新。本月更新包含:✦1个已公开披露的零日漏洞
行业观察 | VMware ESXi 服务器暴露高危漏洞,中国1700余台面临勒索软件威胁
网络安全研究人员发出紧急警告,VMwareESXi虚拟化平台曝出一个严重漏洞CVE-2025-41236(CVSS评分9.3)。该漏洞存在于
IBM调研报告:13%的企业曾遭遇AI模型或AI应用的安全漏洞 绝大多数缺乏完善的访问控制管理
成本报告》显示,当前 AI 应用的推进速度远快于其安全治理体系的建设。该报告首次针对 AI 系统的安全防护、治理机制及访问控制展开研究,尽管遭遇 AI 相关安全漏洞的机构在调研样本中占比不高,一个既定事实是: AI 已成为高价值
自签名证书工具cfssl详解
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
评论