我们正处于一个信息大暴发的时代,每天都能产生数以百万计的新闻资讯!
虽然有大数据推荐,但面对海量数据,通过我们的调研发现,在一个小时的时间里,您通常无法真正有效地获取您感兴趣的资讯!
头条新闻资讯订阅,旨在帮助您收集感兴趣的资讯内容,并且在第一时间通知到您。可以有效节约您获取资讯的时间,避免错过一些关键信息。
4月18日消息,热门SSH和Telnet工具PuTTY被曝安全漏洞,追踪编号为CVE-2024-31497,影响0.68-0.80版本,攻击者只需使用60个签名就能还原私钥。官方目前已经更新发布了0.81版本,并推荐用户尽快升级到最新版本中。
该漏洞由波鸿鲁尔大学的FabianBäumer和MarcusBrinkmann发现,存在于PuTTY工具的SSH身份认证环节。该应用会调用NISTP-521曲线生成ECDSAnonces(临时唯一加密数字),不过这些数字是通过确定性方式生成的,因此存在偏差。
攻击者只需要访问几十条已签名消息和公钥,就能从中恢复私钥,后续就可以伪造签名,并在未经授权的情况下访问服务器。
IT之家注:除了PuTTY之外,包括FileZilla、WinSCP和TortoiseGit在内的相关组件也存在该问题。目前官方发布了PuTTY0.81、FileZilla3.67.0、WinSCP6.3.3和TortoiseGit2.15.0.1,修复了该问题。
官方表示CVE-2024-31497漏洞非常严重,敦促用户和管理员立即更新。当前使用ECDSANIST-P521密钥的产品或组件均受影响,应通过从authorized_keys、GitHub存储库和任何其他相关平台中删除这些密钥,防止未经授权的访问和潜在的数据泄露。
以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。
快照生成时间:2024-04-18 15:45:20
本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。
信息原文地址: