PuTTY等工具曝严重安全漏洞：可还原私钥和伪造签名-电子发烧友网

据报道，知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497，涉及版本0.68至0.80。仅需使用60个签名，攻击者即可还原私钥。为应对此风险，官方更新推出0.81版本，呼吁使用者尽快升级。

这一隐患由德国波鸿鲁尔大学的Fabian Bäumer与Marcus Brinkmann发现，位于PuTTY的SSH身份验证环节。该应用采用NIST P-521曲线生成ECDSA nonces（临时唯一加密数字），但由于生成方式固定，可能导致偏差。

攻击者只需获取数十条已签名消息及公钥，便可从中恢复私钥，进而伪造签名，实现未经授权的服务器访问。

此外，FileZilla、WinSCP以及TortoiseGit等相关组件亦受到影响。目前，官方已发布PuTTY 0.81、FileZilla 3.67.0、WinSCP 6.3.3以及TortoiseGit 2.15.0.1以修复此问题。

官方强调CVE-2024-31497漏洞严重性，强烈建议用户和管理员立即更新。所有使用ECDSA NIST-P521密钥的产品或组件均受影响，应及时删除authorized_keys、GitHub存储库及其他相关平台中的此类密钥，防范未授权访问及潜在数据泄露。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

服务器

服务器

+关注

关注
12

文章
8129

浏览量
82571
安全漏洞

安全漏洞

+关注

关注
0

文章
148

浏览量
16546
putty

putty

+关注

关注
1

文章
10

浏览量
10459

微软修复两个已被黑客利用攻击的零日漏洞

此次更新的精英账号“泄露型”安全漏洞（代号：CVE-2024-26234）源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。

发表于 04-10 14:39 •218次阅读

iOS 17.4.1修复两安全漏洞，涉及多款iPhone和iPad

　据报道，iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞（CVE-2024-1580）。

发表于 03-26 10:47 •299次阅读

源代码审计怎么做？有哪些常用工具

源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。下面是常用的源代码审计工具： 1、Fortify：通过内置的五大主要分析引擎，对源代码进行静态分析，并与特有的软件安全漏洞规则集进行全面

发表于 01-17 09:35

网络安全测试工具有哪些类型

网络安全测试工具是指用于评估和检测系统、网络和应用程序的安全性的一类软件工具。这些工具可以帮助组织和企业发现潜在的

发表于 12-25 15:00 •569次阅读

再获认可，聚铭网络入选国家信息安全漏洞库（CNNVD）技术支撑单位

近日，国家信息安全漏洞库（CNNVD）公示2023年度新增技术支撑单位名单。经考核评定，聚铭网络正式入选并被授予《国家信息安全漏洞库（CNNVD）三级技术支撑单位证书》。国家信息安全漏洞

发表于 12-21 10:14 •284次阅读

再获认可，聚铭网络入选国家信息<b class='flag-5'>安全漏洞</b>库（CNNVD）技术支撑单位

如何消除内存安全漏洞

“MSL 可以消除内存安全漏洞。因此，过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。

发表于 12-12 10:29 •196次阅读

这10款容器安全工具特点分析

借助先进的Docker安全管理工具，企业组织可以自动扫描Docker镜像并查找安全漏洞，发现其中已过时的软件包或已知的安全漏洞；此外，这些工具

发表于 11-27 16:12 •216次阅读

OpenAtom OpenHarmony 三方库创建发布及安全隐私检测

目前已有的安全检测工具，对三方库进行定期检测。支持的风险类型包括： 安全漏洞检测 安全漏洞检测工具可以对三方库进行实时

发表于 11-13 17:27

统一系统脆弱性管理平台：让“网络安全漏洞”无处遁形

网络安全漏洞是网络节点的系统软件或应用软件在逻辑设计上的缺陷，漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使网络攻击者能够在未授权的情况下访问或破坏系统。网络安

发表于 09-25 10:30 •333次阅读

如何降低网络安全漏洞被利用的风险

的领军企业——国联易安的产品市场专家给出了答案：一是明白什么是网络安全漏洞。网络安全漏洞也称为脆弱性，是信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的可被威胁利用的缺陷，这些缺陷存在于件

发表于 09-13 15:37 •666次阅读

AMD Zen2全家都有严重安全漏洞！

Google信息安全研究员Tavis Ormandy披露了他独立发现的存在于AMD Zen2架构产品中的一个严重安全漏洞“Zenbleed”(Zen在流血)。

发表于 07-26 11:51 •1446次阅读

IBM 最新报告：安全漏洞成本飙升，但半数存在漏洞企业不愿增加安全投入

万美元，创该报告有史以来以来最高记录，也较过去3年均值增长了15%。同一时期内，检测安全漏洞和漏洞恶化带来的

发表于 07-26 04:07 •464次阅读

IBM 最新报告：安全漏洞成本飙升，但半数存在漏洞企业不愿增加安全投入

以来最高记录，也较过去 3 年均值增长了 15%。同一时期内，检测安全漏洞和漏洞恶化带来的安全成本上升了 42%，占安全漏

发表于 07-25 18:15 •262次阅读

常见的漏洞扫描工具

漏洞扫描工具是现代企业开展渗透测试服务中必不可少的工具之一，可以帮助渗透测试工程师快速发现被测应用程序、操作系统、计算设备和网络系统中存在的安全风险与

发表于 06-28 09:42 •1128次阅读

利用SDR发现射频安全漏洞

在当今的无线和5G时代，公司和个人在其物联网资产上遇到越来越多的安全威胁。任何拥有低成本无线电设备的人都可以拦截无线射频信号，并使用开源软件进行解码，因此必须评估连接设计是否存在安全漏洞。这包括进行

发表于 05-05 09:50 •1984次阅读